[ATTENTION] Failles DNS au niveau national !

De rien mon ami

Voici un nouveau lien pour tester vos DNS et si vous ou votre Fournisseur d'Accès est vulnérable ou pas (je parle toujours des DNS biensur) :

http://entropy.dns-oarc.net/test/

Et comme d'hab, si tout est vert donc tout va bien

Et pour tester ceux des autres ?

C'est le même site, mais pas avec une page Web

En mode commande (pour Windows, il faut avoir l'utilitaire dig...par exemple ici), on fait :

dig +short @ServeurDNS porttest.dns-oarc.net TXT

Où "ServeurDNS" est le serveur que vous voulez tester.

Par contre, pour les résultats, il faut savoir lire...pas de couleurs

Si c'est POOR c'est ...pauvre

J'aimerais insisté sur le fait que le fait q'un serveur ne soit pas "vulnérable" selon ces tests est assez realtif...parceque réellement, "POOR" veut dire : exploitable très facilement et "Great" : difficilement exploitable, mais pas impossible !

PS: c'est ce service que j'ai utilisé pour faire mes tests avec le script de mon billet sur l'état des DNS Algériens

merci pour le lien , bon comment dois je traduire ce resultat :

1. 193.251.169.165 (DNS-1.djaweb.dz) appears to have POOR source port randomness and GREAT transaction ID randomness.
   
2. 193.251.169.166 (DNS-2.djaweb.dz) appears to have POOR source port randomness and GREAT transaction ID randomness.
   

je vois des poor et des greats !!! so what next ?

aussi , openDNS nest malheureusement pas une alternative (voir le sujet) alors vous nous conseillez quoi ?

merci pour le lien , bon comment dois je traduire ce resultat :

 

 

1. 193.251.169.165 (DNS-1.djaweb.dz) appears to have POOR source port randomness and GREAT transaction ID randomness.
   
2. 193.251.169.166 (DNS-2.djaweb.dz) appears to have POOR source port randomness and GREAT transaction ID randomness.
   

je vois des poor et des greats !!! so what next ?

Les deux serveurs djaweb utilisent le même port source (le 53) pour demander des réponses aux autres serveurs DNS (pour répondre à tes requêtes)...alors un attaquant sait que toujours c'est le même port, ça facilite la falsification d'une réponse (il envoi la réponse sur le port 53).

Mais une réponse DNS doit correspondre à une requête "unique", cette requête est identifiée par un numéro de séquence ou ID. Pour faire croire au serveur DNS de djaweb que la réponse de l'attaquant est celle qu'il attend, cette réponse doit avoir le même ID de la requête. Mais c'est une inconnu pour l'attaquant (à moins de pouvoir sniffer le traffic et là c'est mort de toute façon, c'est du Man In The Middle)...il fait quoi alors ? il essaye toutes les valeurs possibles de l'ID (et ceci avant une réponse du vrai serveur DNS demandé). LE GREAT de "transaction ID randomness" veut dire que cette valeur est difficilement prévisible (mais pas impossible) dans le cas de djaweb.

En gros, c'est bien...mais peuvent faire mieux (varier le port source)

ah ok merci pour ta reponse secdz.

Bonjour tout le monde !

Depuis longtemps j(utilise les DNS D'OPEN DNS, (208.67.222.222 et 208.67.220.220)mais quand j'ai fait le tst des DNS depuis le site http://entropy.dns-oarc.net/test/ (merci Butterfly) ça me dit que les DNS : 208.69.34.4 et 208.69.34.8 (apear to be great ...)!

Ma question : Est-ce que ces dernières DNS 208.69.34.4 et 208.69.34.8 appartiennrnt à Open DNS ?

Bonjour tout le monde !

 

Depuis longtemps j(utilise les DNS D'OPEN DNS, (208.67.222.222 et 208.67.220.220)mais quand j'ai fait le tst des DNS depuis le site http://entropy.dns-oarc.net/test/ (merci Butterfly) ça me dit que les DNS : 208.69.34.4 et 208.69.34.8 (apear to be great ...)!

Ma question : Est-ce que ces dernières DNS 208.69.34.4 et 208.69.34.8 appartiennrnt à Open DNS ?

oui :

208.69.34.4 => bld1.lon.opendns.com

208.69.34.8 => bld3.lon.opendns.com

ça doit être du forwarding.

Merci SecDz pour la réponse ! ça doit être ça ! Mais la première fois j'ai eu peur en voyant mes dns d'opendns se transformer en 208.69.34.8 ...