lunes, 4 de agosto de 2008

¿Cómo saber si un sistema operativo cliente es suceptible a vulnerabilidad de DNS?

El procedimiento es muy sencillo. Requiere abrir dos terminales.

Desde Linux: Aplicaciones → Herramientas de Sistema → Terminal, o bien Aplicaciones → Accesorios → Terminal

Desde Mac OS X: Lanzar Aplicaciones → Utilidades → Terminal

Desde la primera terminal, se utiliza el siguiente mandato:

sudo /usr/sbin/tcpdump | grep domain

Desde la segunda terminal, se utiliza lo siguiente:

dig alcancelibre.org

En la primera terminal, siel cliente es vulnerable, devolveráalgo como lo siguiente, donde los númerosde los puertos, desde donde seorigina la consulta, sonconsecutivos, que es el caso en el que se encuentran lossistemas con Mac OS X:

16:35:51.834154 IP ip-o-nombre-cliente.33727 > servidor.dns.domain: 15031+ PTR? 30.203.191.64.in-addr.arpa. (44)
16:35:51.862501 IP servidor.dns.domain > ip-o-nombre-cliente.33727: 15031 2/0/0[|domain]
16:35:53.953262 IP ip-o-nombre-cliente.45186 > servidor.dns.domain: 25983+ A? alcancelibre.org. (34)
16:35:54.072458 IP servidor.dns.domain > ip-o-nombre-cliente.45186: 25983 1/0/0 A mail.delti.com.mx (50)
16:35:54.073494 IP ip-o-nombre-cliente.33728 > servidor.dns.domain: 53933+ PTR? 226.1.161.201.in-addr.arpa. (44)
16:35:54.176112 IP servidor.dns.domain > ip-o-nombre-cliente.36103: 53933 1/0/0 (75)
16:35:54.407002 IP ip-o-nombre-cliente.57582 > servidor.dns.domain: 41303+ PTR? 250.255.255.239.in-addr.arpa. (46)
16:35:54.468223 IP servidor.dns.domain > ip-o-nombre-cliente.57582: 41303 NXDomain 0/1/0 (103)
16:36:06.704395 IP ip-o-nombre-cliente.33729 > servidor.dns.domain: 18640+ PTR? 83.165.85.209.in-addr.arpa. (44)
16:36:06.791714 IP servidor.dns.domain > ip-o-nombre-cliente.35781: 18640 1/0/0 (78)

En la primera terminal,un cliente no-vulnerable, debe devolver algo similar a losiguiente, donde los números de los puertos desde donde se originan lasconsultas son verdaderamentealeatorios, como ocurre en CentOS,Fedora y Red Hat Enterprise Linux:

16:35:51.834154 IP ip-o-nombre-cliente.31646 > servidor.dns.domain: 15031+ PTR? 30.203.191.64.in-addr.arpa. (44)
16:35:51.862501 IP servidor.dns.domain > ip-o-nombre-cliente.33727: 15031 2/0/0[|domain]
16:35:53.953262 IP ip-o-nombre-cliente.45186 > servidor.dns.domain: 25983+ A? alcancelibre.org. (34)
16:35:54.072458 IP servidor.dns.domain > ip-o-nombre-cliente.45186: 25983 1/0/0 A mail.delti.com.mx (50)
16:35:54.073494 IP ip-o-nombre-cliente.36103 > servidor.dns.domain: 53933+ PTR? 226.1.161.201.in-addr.arpa. (44)
16:35:54.176112 IP servidor.dns.domain > ip-o-nombre-cliente.36103: 53933 1/0/0 (75)
16:35:54.407002 IP ip-o-nombre-cliente.57582 > servidor.dns.domain: 41303+ PTR? 250.255.255.239.in-addr.arpa. (46)
16:35:54.468223 IP servidor.dns.domain > ip-o-nombre-cliente.57582: 41303 NXDomain 0/1/0 (103)
16:36:06.704395 IP ip-o-nombre-cliente.35781 > servidor.dns.domain: 18640+ PTR? 83.165.85.209.in-addr.arpa. (44)
16:36:06.791714 IP servidor.dns.domain > ip-o-nombre-cliente.35781: 18640 1/0/0 (78)

Ver artículo original

Publicado con El navegador Flock