mercredi 23 juillet 2008
DNS encore, peut-être une solution...
Par Sid,
mercredi 23 juillet 2008 à 13:28 :: (In)Sécurité
Lu 14493 fois ::
English
e décrivais hier les propositions de Halvar Flake et Thomas Ptacek. Et vous faisais également part de mes interrogations sur leur fonctionnement. En effet, je me suis quand même dit que tout ça méritait quelques vérifications. J'ai donc monté rapidement un serveur DNS récursif pour l'occasion. Il s'agit d'un BIND 9.5.0, provenant du paquet fournit par la Sid de Debian. Il est configuré sans forwarder et tape donc directement les serveurs racines.
Et se faisant, je ne suis pas parvenu à faire fonctionner les attaques proposées, et en particulier celle de Ptacek. Loin de baisser les bras, je me suis mis à essayer des variantes, basées d'une part sur l'observation de requêtes spécifiques et la lecture d'un peu de documentation, en particulier la RFC 2181. Et finalement, c'est passé...
