[LACNIC/Seguridad] versiones clientes DNS

[Fernando Gont]

On 02/03/2012 11:44 PM, Victor Hugo dos Santos wrote:

> Durante el dia estaba revisando el tema de p0f..
> pero solo funciona en base a TCP... 

Claro. Es que en en el caso de TCP usualmente se utilizan opciones, y
entonces, en base a las opciones utilizadas, valores, y framing, se
puede obtener de manera bastante precisa el OS.

Sin embargo, si solo vas a utilizar UDP, y encima de manera pasiva, se
vuelve complicado identificar el OS, ya que hay poca información que
varía de uno a otro OS


> pensé en un momento en hacer lo
> que mencionas, o sea, forzar los clientes a reenviar las consultas por
> TCP... pero esto tendria varios problemas.. 

Seguro.. por eso puse el "disclaimer" en el mismo mail en el que lo
sugerí. De hecho, yo no lo haría en un servidor DNS de producción, y
menos aún si es un servidor "busy".


> estoy pensando en otras alternativas... algo como analize de los
> paquete UDP, pero no se si conseguire distinguir los diferentes
> sistems solo en base a las cabeceras UDP... fin de semana a divertirme
> con pcap/snort/tcpdump/otros.

Supongo que otra cosa a "considerar" es intentar correlacionar distintas
peticiones del mismo sistema. Por ej., es probable que determinados
clientes pidan, para un mismo dominio, peticiones "A" y "AAAA", tal vez
con distinto orden y/o timing, o incluso agrupadas en una misma
petición, o como "any".

P.S.: Copio a la gente de ISC, que es probable que puedan agregar algo.
Asimismo, ellos implementaron Passive DNS, que si bien creo que no
implementa la funcionalidad que vos estas buscando, puede que los haya
llevado en algun momento a considerar su implementación, y considerar
estos factores que estamos discutiendo.

Saludos,
-- 
Fernando Gont
SI6 Networks
e-mail: fgont en si6networks.com
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492