Microsoft hackuje bind?
Petr Soucek
petr na ryston.cz
Neděle Červenec 9 19:41:24 CEST 2000
Zdravim,
pred mesicem, kdyz uz jsme meli 14 dni nove IP adresy a vse
preregistrovano jsem jeste sledoval, jestli se jeste neco
nedeje na tech starych. Pochopitelne delo, co me ale nejvic
prekvapilo, byla nasledujici sekvence z Microsoftu:
Date: 29-May-2000, time GMT + 02 (MEST)
14:14:14.714731 eth0 < 207.46.106.75.35526 > 194.24.231.11.domain: 0 TXT CHAOS)? VERSION.BIND. (30) (ttl 39, id 1)
14:14:14.714731 eth0 < 207.46.106.75.35526 > 194.24.231.11.domain: 1 TXT CHAOS)? VERSION.BIND. (30) (ttl 40, id 2)
14:14:14.714731 eth0 < 207.46.106.75.35526 > 194.24.231.11.domain: 2 TXT CHAOS)? VERSION.BIND. (30) (ttl 40, id 3)
14:15:04.884731 eth0 < 207.46.106.75.35536 > 194.24.231.11.domain: 0 A? . (17) (ttl 40, id 1)
14:15:04.884731 eth0 < 207.46.106.75.35536 > 194.24.231.11.domain: 1 A? . (17) (ttl 40, id 2)
14:15:04.894731 eth0 < 207.46.106.75.35536 > 194.24.231.11.domain: 2 A? . (17) (ttl 40, id 3)
14:15:54.914731 eth0 < 207.46.106.75.domain > 194.24.231.11.33434: 2400 FormErr [0q] 0/0/0 (36) (ttl 40, id 2400)
14:15:54.924731 eth0 < 207.46.106.75.domain > 194.24.231.11.33434: 2401 FormErr [0q] 0/0/0 (36) (ttl 40, id 2401)
14:15:54.924731 eth0 < 207.46.106.75.domain > 194.24.231.11.33434: 2402 FormErr [0q] 0/0/0 (36) (ttl 40, id 2402)
14:16:44.824731 eth0 < 207.46.106.75 > 194.24.231.11: icmp: echo request (ttl 40, id 6174)
14:16:44.824731 eth0 < 207.46.106.75 > 194.24.231.11: icmp: echo request (ttl 40, id 6174)
14:16:44.834731 eth0 < 207.46.106.75 > 194.24.231.11: icmp: echo request (ttl 40, id 6174)
14:17:20.844731 eth0 < 207.46.106.75.2400 > 194.24.231.11.domain: S 649171254:649171318(64) win 2048 (ttl 231, id 4292)
14:17:20.844731 eth0 < 207.46.106.75.2401 > 194.24.231.11.domain: S 1431172249:1431172313(64) win 2048 (ttl 231, id 2443)
14:17:20.854731 eth0 < 207.46.106.75.2402 > 194.24.231.11.domain: S 648124860:648124924(64) win 2048 (ttl 231, id 3617)
Z abuse na microsoft.com mi odpovedeli, ze to dela 3-DNS box
(http://www.3dns.com/) pro rozdelovani zateze, jenomze ten
maji i jinde, a jeho aktivita vypada jinak. Ptal jsem se na
support na 3dns.com, ti mi poslali podrobny popis, co jejich
box dela, ale o tehle aktivite tam nic nebylo. Psal jsem
tedy jeste vzdy s odstupem tydne znovu na abuse na microsoft.com,
ale uz mi neodpovedeli.
Napada vas nekoho, jake ty dotazy muzou mit smysl? Je jich
celkem 5, kazdy se 3x opakuje:
1. dotaz na verzi bindu (predpoklad uspesnosti NXT attacku?)
2. dotaz na A adresu ".", to je zajimave, podle letmeho pokusu
odpovida bind status "NXDOMAIN", zatimco MS DNS status="NOERROR"
3. odpoved na neexistujici dotaz??
4. to je normalni ping, mereni RTT
5. pokus o TCP spojeni na port 53
Zpozorovali jste to nekdo taky? Je to normalni nebo ne?
Nebo jsem az moc paranoidni?
Cast z toho (bez detekce verze bindu) je komentovana na
http://www.sans.org/newlook/resources/IDFAQ/DNS.htm
ale sam autor neni moc uspokojen.
Pokud nekdo chce, poslu mu vyjadreni MS i vyrobce 3DNS.
Petr Soucek
Další informace o konferenci Linux