Re: [FRnOG] Re: Re: [MISC] DSAV Project: sérieux ou scam ?
On Tue 13 Oct 2020 11:59:14 GMT, Stephane Bortzmeyer wrote: > Je suis apparemment le seul à avoir lu en entier le message des > chercheurs. Ils le disent bien : ils regardent sur un serveur faisant > autorité si la requête a bien été acceptée et traitée par le > résolveur. Oh bah 30 pavés identiques qui disent tous « on est des chercheurs on va te dire dans quelles confs on cause et comment tu dois gérer ton réseau », effectivement j’ai pas cherché à lire plus que ça. Au premier mail je me suis dit « bon, faudra voir ça à tête reposée, dépilons le reste des mails pour le moment ». Puis j’ai vu le spam (3 ASes × 5 adresses × 2 mails (v4 et v6) ça fait trente) et là j’ai sorti la sulfateuse et je me suis plus posé de questions. -- Alarig --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: Re: [MISC] DSAV Project: sérieux ou scam ?
Bonjour, On Tue, 13 Oct 2020 11:59:14 +0200 Stephane Bortzmeyer wrote: > Je suis apparemment le seul à avoir lu en entier le message des > chercheurs. Ils le disent bien : ils regardent sur un serveur faisant > autorité si la requête a bien été acceptée et traitée par le > résolveur. Toi et David dirait-on, au minimum... Moi, j'ai arrete en chemin, my bad ! > Donc, méthodologie : > 1) Créer un domaine avec un serveur faisant autorité, mettons "ledomaine" > 2) Y lancer tcpdump > 3) Demander (avec adresse IP usurpée) au résolveur de résoudre > ID-54556.ledomaine > 4) Si tcpdump montre une requête pour ID-54556.ledomaine, c'est que le > résolveur a reçu la requête avec l'adresse source usurpée. Yup, c'est bon, je vois bien maintenant. Merci, Paul --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: Re: [MISC] DSAV Project: sérieux ou scam ?
On Tue, Oct 13, 2020 at 11:49:01AM +0200, Paul Rolland (ポール・ロラン) wrote a message of 33 lines which said: > Moi, je lis : "... indicating that our spoofed queries successfully > penetrated the network", et c'est cette partie-la qui m'intrigue... > > Sachant que la source a ete spoofee, peu de chance qu'ils puissent utiliser > les reponses pour verifier que la query a bien penetree... Je suis apparemment le seul à avoir lu en entier le message des chercheurs. Ils le disent bien : ils regardent sur un serveur faisant autorité si la requête a bien été acceptée et traitée par le résolveur. Donc, méthodologie : 1) Créer un domaine avec un serveur faisant autorité, mettons "ledomaine" 2) Y lancer tcpdump 3) Demander (avec adresse IP usurpée) au résolveur de résoudre ID-54556.ledomaine 4) Si tcpdump montre une requête pour ID-54556.ledomaine, c'est que le résolveur a reçu la requête avec l'adresse source usurpée. En Scapy : i = IPv6() i.src = "adresse source usurpée" i.dst = "adresse résolveur" d = TCP(sport=4978,dport=53)/DNS(rd=1,id=666,qd=DNSQR(qname="ID-54556.ledomaine")) sr1(i/d) --- Liste de diffusion du FRnOG http://www.frnog.org/