[LACNIC/Seguridad] versiones clientes DNS

[Victor Hugo dos Santos]

2012/2/3 Fernando Gont <fgont en si6networks.com>:
> On 02/03/2012 03:14 PM, Iván Arce wrote:
>> Es un proyecto interesante! A priori, creo que el comportamiento de
>> distintos clientes DNS podría ser distinguible si utiliza un server DNS
>> instrumentado para elicitar las consultas adecuadas. Una de las posibles
>> vía de investigación es identificar clientes en función de la secuencia
>> de query IDs que utilizan para sus consultas.
>
> Lo mismo para la secuencia de puertos UDP.
>
> P.S.: En principio, uno podría hacer un "hack" para poder utilizar p0f:
> devolver las respuestas truncadas, de modo que el cliente tenga que
> reintentar mediante TCP. -- Está claro que pasar a depender de TCP haber
> la puerta a toda una posible cantidad de DoS... pero en principio es
> otra variable con la que se podría jugar.

Hola,

Durante el dia estaba revisando el tema de p0f..
pero solo funciona en base a TCP... pensé en un momento en hacer lo
que mencionas, o sea, forzar los clientes a reenviar las consultas por
TCP... pero esto tendria varios problemas.. principalmente, por que la
idea es ser el mas transparente posible.. y ademas forzar las
consultas por TCP aumentaria el trafico considerablemente y si
consideramos que si llegara a instalar en alguno ISP mas o menos
grandes... seria un cambio considerable alto de trafico.

estoy pensando en otras alternativas... algo como analize de los
paquete UDP, pero no se si conseguire distinguir los diferentes
sistems solo en base a las cabeceras UDP... fin de semana a divertirme
con pcap/snort/tcpdump/otros.

salu2 y gracias

-- 
--
Victor Hugo dos Santos
Linux Counter #224399