¿Por qué se necesita un servidor de reconocimiento por separado para el envenenamiento de la caché de DNS?

Navega tus respuestas
3

Estoy tratando de entender cómo funciona el módulo DNS BailiWicked Host Attack de Metasploit . Una de las opciones de módulo requeridas es un servidor de nombres de "reconocimiento" (opción RECONS).

Lo que entiendo de código fuente es que el servidor de reconocimiento se usa para encontrar el servidor de nombres autorizado para el dominio que estamos falsificando. Pero ¿por qué no se puede usar el servidor de nombres de destino para esto? ¿Es para que el host de destino no se almacene en caché durante la búsqueda?

    
pregunta pepsi 24.02.2013 - 01:38
fuente

1 respuesta

4

Mirando la fuente, voy a apostar que una posible razón se debe al hecho de que el usuario tiene la opción de falsificar la dirección IP de origen que envía las solicitudes y respuestas de DNS maliciosas.

Si uno estaba usando el servidor de nombres de destino para recuperar información, necesitarían realizar solicitudes desde su verdadera IP para recibir respuestas. Si hacían esto en combinación con el envío de solicitudes malintencionadas desde una IP falsificada, un administrador de red a cargo del servidor DNS de destino podría notar que las dos IP hacían solicitudes con respecto al mismo nombre de host malicioso, y fácilmente determinar cuál está falsificada y cuál es una verdadera IP originaria.

Por lo tanto, esto hace posible que un atacante disimule completamente la fuente del ataque.

    
respondido por el Anorov 24.02.2013 - 03:44
fuente

Lea otras preguntas en las etiquetas

Estrategias de mitigación para la respuesta Dividir el ataque ¿Cómo se evalúa AV contra un malware de día cero?