Как устроен и работает DNS

Bredonosec> Я просто обьяснил, что если принимать "ответы" насчет адресов от кого попало, то что на этом, что на том уровнях, можно хорошо повеселиться.

То, что вы описали выше называется перехват DNS-запроса и если это вообще осуществить, то "посылать запрос кому надо" вообще не поможет. Ложный DNS-сервер прикидывается настоящим.

Lamort> То, что вы описали выше называется перехват DNS-запроса и если это вообще осуществить, то "посылать запрос кому надо" вообще не поможет. Ложный DNS-сервер прикидывается настоящим.

вы как обычно ничерта не понимаете, но прикидываетесь знатоком ))

Если я в настройках стенки укажу принимать ответы по удп и 53 порту только с ИП 212.59.0.1 (к примеру, - это один из ДНС местных провайдеров) - можете прикидываться хоть турбовеником, мне будет глубоко насрать

Bredonosec> вы как обычно ничерта не понимаете, но прикидываетесь знатоком ))

Да что вы говорите, а не вы ли недавно глубокомысленно про ARP вещали?

Bredonosec> Если я в настройках стенки укажу принимать ответы по удп и 53 порту только с ИП 212.59.0.1 (к примеру, - это один из ДНС местных провайдеров) - можете прикидываться хоть турбовеником, мне будет глубоко насрать

Атакующий вас может прикинуться этим самым IP провайдера, например, если он находится в вашем Eternet-сегменте и посылать вам ответ якобы с этого самого IP, который принадлежит DNS провайдера. Кстати, это делается с помощью именно с помощью ARP о котором вы говорили выше.

Lamort> Кстати, это делается с помощью именно с помощью ARP о котором вы говорили выше.
Зачем? Если ты находишься в том же сегменте, то что мешает навесить виртуальный IP адрес на сетевой интерфей?

На лине:

1. [root@evstiomvvm etc]# ifconfig
2. eth0      Link encap:Ethernet  HWaddr 00:0C:29:5E:4A:34  
3.           inet addr:10.23.4.190  Bcast:10.23.5.255  Mask:255.255.254.0
4.           inet6 addr: fe80::20c:29ff:fe5e:4a34/64 Scope:Link
5.           UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
6.           RX packets:13057335 errors:0 dropped:0 overruns:0 frame:0
7.           TX packets:1563582 errors:0 dropped:0 overruns:0 carrier:0
8.           collisions:0 txqueuelen:1000
9.           RX bytes:2266535371 (2.1 GiB)  TX bytes:288674947 (275.3 MiB)
10.           Interrupt:67 Base address:0x2024
11.  
12. lo        Link encap:Local Loopback  
13.           inet addr:127.0.0.1  Mask:255.0.0.0
14.           inet6 addr: ::1/128 Scope:Host
15.           UP LOOPBACK RUNNING  MTU:16436  Metric:1
16.           RX packets:3970 errors:0 dropped:0 overruns:0 frame:0
17.           TX packets:3970 errors:0 dropped:0 overruns:0 carrier:0
18.           collisions:0 txqueuelen:0
19.           RX bytes:6095991 (5.8 MiB)  TX bytes:6095991 (5.8 MiB)
20.  
21. [root@evstiomvvm etc]# ifconfig eth0:1 up 10.23.5.12
22. [root@evstiomvvm etc]# ifconfig
23. eth0      Link encap:Ethernet  HWaddr 00:0C:29:5E:4A:34  
24.           inet addr:10.23.4.190  Bcast:10.23.5.255  Mask:255.255.254.0
25.           inet6 addr: fe80::20c:29ff:fe5e:4a34/64 Scope:Link
26.           UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
27.           RX packets:13057764 errors:0 dropped:0 overruns:0 frame:0
28.           TX packets:1563598 errors:0 dropped:0 overruns:0 carrier:0
29.           collisions:0 txqueuelen:1000
30.           RX bytes:2266574572 (2.1 GiB)  TX bytes:288677011 (275.3 MiB)
31.           Interrupt:67 Base address:0x2024
32.  
33. eth0:1    Link encap:Ethernet  HWaddr 00:0C:29:5E:4A:34  
34.           inet addr:10.23.5.12  Bcast:10.255.255.255  Mask:255.0.0.0
35.           UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
36.           Interrupt:67 Base address:0x2024
37.  
38. lo        Link encap:Local Loopback  
39.           inet addr:127.0.0.1  Mask:255.0.0.0
40.           inet6 addr: ::1/128 Scope:Host
41.           UP LOOPBACK RUNNING  MTU:16436  Metric:1
42.           RX packets:3970 errors:0 dropped:0 overruns:0 frame:0
43.           TX packets:3970 errors:0 dropped:0 overruns:0 carrier:0
44.           collisions:0 txqueuelen:0
45.           RX bytes:6095991 (5.8 MiB)  TX bytes:6095991 (5.8 MiB)
46.  
47. [root@evstiomvvm etc]#

How to assign different/multiple IP address to NIC network card — windows

Mishka> Зачем? Если ты находишься в том же сегменте, то что мешает навесить виртуальный IP адрес на сетевой интерфей?
Затем, что в модели атаки Ламорта атакующий не является частью провайдера (или не захватывает роутер). Просто подсоединяется к тому же сегменту, и все. Это наиболее популярно на вайфае сейчас.

zaitcev> Затем, что в модели атаки Ламорта атакующий не является частью провайдера (или не захватывает роутер). Просто подсоединяется к тому же сегменту, и все. Это наиболее популярно на вайфае сейчас.

Если ты уже в сегменте, то тебе прикидываться не надо. Просто завёл адрес и он по тому же ARP всем раздасться. И до тебя быстрее дойдёт, чем до нужного DNS сервера через несколько хопов. Хотя это тут роли не играет — прямая трансляция IP адреса в локальный обеспечит тебе нужную жизнь. Вот для DHCP это играет роль, бо там просто броадкастают и смотрят, что будет. Кто первым ответил, тот и хозяин. Кстати, одна из самых поганых фишек в локальной сети, когда какой-нибудь идиот принесёт свой раутер тихонько и установит, а DHCP не отключит. Потом люди начинают получать левые адреса, нифига не работает и все IT просто писяют кипятком некоторое время. Хотя по тому же ARP кэшу можно вычислить физические порты в свитчах, откуда инфа пришла (если свитчи не manageble, то труднее, но путём отключения up-link-ов, довольно быстро сегментируется на маленькие участки). Если скрестить с DHCP и ARP немного, то там вообще можно маршрутные таблицы менять. Собственно, атака на Дуга ARP и была такая, что заменяла default gateway на себя и все слали трафик тебе.

Mishka>> Зачем? Если ты находишься в том же сегменте, то что мешает навесить виртуальный IP адрес на сетевой интерфей?
zaitcev> Затем, что в модели атаки Ламорта атакующий не является частью провайдера (или не захватывает роутер). Просто подсоединяется к тому же сегменту, и все. Это наиболее популярно на вайфае сейчас.

Ага, некий хост перехватывает трафик и заменяет исходящий IP на IP DNS, а MAC заменяет на MAC роутера, так как сам адресат находится как правило дальше, чем хост злоумышленника, ответ от него приходит быстрее, чем настоящий ответ.
"Бородатая" технология, её в курсе Cisco рассказывают.