Μελέτη στην ασφάλεια των αναλυτών και προωθητών DNS

Το σύστημα ονομάτων περιοχών (DNS) αποτελεί ένα ιεραρχικό σύστημα ονοματοδοσίας για δίκτυα υπολογιστών το οποίο υλοποιήθηκε για πρώτη φορά το 1984. Χρησιμοποιείται κυρίως για την αντιστοιχία ονομάτων περιοχών (domain name) με διευθύνσεις IP, για τη διευκόλυνση των χρηστών του διαδικτύου. Διαδραματίζ...

Full description

Saved in:
Bibliographic Details
Main Authors: Κόπανος, Παναγιώτης, Λουλουδάκης, Γεώργιος
Other Authors: Καμπουράκης, Γεώργιος
Language:Greek
Published: 2015
Subjects:
Online Access:https://vsmart.lib.aegean.gr/webopac/FullBB.csp?WebAction=ShowFullBB&EncodedRequest=*0F2*1Bh*9BTc*D9*E5*DD*C3*D3*3C*9D*99*02&Profile=Default&OpacLanguage=gre&NumberToRetrieve=50&StartValue=2&WebPageNr=1&SearchTerm1=2012%20.1.31587&SearchT1=&Index1=Keywordsbib&SearchMethod=Find_1&ItemNr=2
http://hdl.handle.net/11610/8682
Tags: Add Tag
No Tags, Be the first to tag this record!
Description
Summary:Το σύστημα ονομάτων περιοχών (DNS) αποτελεί ένα ιεραρχικό σύστημα ονοματοδοσίας για δίκτυα υπολογιστών το οποίο υλοποιήθηκε για πρώτη φορά το 1984. Χρησιμοποιείται κυρίως για την αντιστοιχία ονομάτων περιοχών (domain name) με διευθύνσεις IP, για τη διευκόλυνση των χρηστών του διαδικτύου. Διαδραματίζει κρίσιμο ρόλο στην αρχιτεκτονική του διαδικτύου και η ασφάλεια του είναι καθοριστική, καθώς προηγείται κάθε άλλης διαδικτυακής εφαρμογής (web, ftp, mail κλπ.). Παρ’ όλη την κρισιμότητά του, οι διακομιστές αναδρομικών ερωτημάτων (recursive) που είναι υπεύθυνοι για την αναζήτηση της αντιστοιχίας όταν δοθεί ένα όνομα περιοχής ως ερώτημα, αντιμετωπίζουν μεγάλα προβλήματα σε θέματα ασφαλείας.Η παρούσα διπλωματική εργασία εκπονήθηκε με σκοπό να εξετάσουμε την ασφάλεια του συστήματος ονομάτων περιοχών και συγκεκριμένα των διακομιστών αναδρομικών ερωτημάτων της Ελλάδος. Για να το επιτύχουμε αυτό, εντοπίσαμε όλους τους διακομιστές αναδρομικών ερωτημάτων αλλά και τους εξυπηρετητές προώθησης υπηρεσιών με τη βοήθεια dns ερωτημάτων και ενός εξουσιoδοτημένου dns διακομιστή (authoritative), για την περιοχή checkdns.aegean.gr, που δημιουργήσαμε. Στη συνέχεια χρησιμοποιώντας ορισμένα χρήσιμα εργαλεία ελέγξαμε τις ρυθμίσεις καθώς και τα αντίμετρα που υποστηρίζει καθένας από τους υπάρχοντες διακομιστές αναδρομικών ερωτημάτων. Για τους διακομιστές προώθησης υπηρεσιών ελέγξαμε μόνο τα λειτουργικά και τις εκδόσεις του λογισμικού του DNSεξυπηρετητή που χρησιμοποιούν ώστε να γνωρίζουμε εάν πρόκειται για σωστά ρυθμισμένους εξυπηρετητές. Αποφασίστηκε κατά τη διάρκεια της εκπόνησης της εργασίας, να εκτελεστεί το ίδιο πείραμα και για την Ιρλανδία, μία χώρα με σχεδόν ίδιο αριθμό IP διευθύνσεων με αυτόν της Ελλάδος και ίσως πιο ανεπτυγμένη στο συγκεκριμένο κλάδο, ώστε να υπάρχει ένα μέτρο σύγκρισης. Τα συμπεράσματα που προέκυψαν ήταν αρκετά απογοητευτικά, καθώς μόνο ένα πολύ μικρό ποσοστό διακομιστών αναδρομικών ερωτημάτων καλύπτει την απαιτούμενη ασφάλεια, με αποτέλεσμα να μπορούν αρκετά εύκολα να πέσουν θύματα ορισμένων επιθέσεων (π.χ. cache poisoning attack). Για το λόγο αυτό, εκτελέσαμε στη συνέχεια ένα ακόμα πείραμα, αναζητώντας αν έχει μολυνθεί η προσωρινή μνήμη κάποιου διακομιστή για κάποια ιστοσελίδα υψηλής επισκεψιμότητας ή τράπεζας. Τα αποτελέσματα παρουσιάζουν αρκετά ενδιαφέρον.Στο τελευταίο στάδιο της διπλωματικής εργασίας εκτελέσαμε μία επίθεση, τύπου ενίσχυσης (Amplification attack), στο διακομιστή που είχαμε οι ίδιοι δημιουργήσει. Η επίθεση που εκτελέσαμε πραγματοποιήθηκε με διαφορετικό τρόπο από τη συνηθισμένη επίθεση ενίσχυσης, αφού αντί της εγγραφής TXT χρησιμοποιήσαμε DNSSEC εγγραφές. Προσπαθήσαμε δηλαδή, να εκμεταλλευτούμε το μεγάλο μέγεθος πακέτων του DNSSEC ώστε να δείξουμε ότι μπορεί να χρησιμοποιηθεί και ενάντια της ασφάλειας του DNS. Η επίθεση έληξε με επιτυχία, καθώς κατορθώσαμε να θέσουμε το διακομιστή εκτός λειτουργίας μέσα σε μικρό χρονικό διάστημα.