dns and bgp cs642 computer security
play

DNS and BGP CS642: Computer Security Professor - PowerPoint PPT Presentation

Jan 09, 2023 •440 likes •798 views

DNS and BGP CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University of Wisconsin CS 642

  2. DNS ¡and ¡BGP ¡ CS642: ¡ ¡ Computer ¡Security ¡ Professor ¡Ristenpart ¡ h9p://www.cs.wisc.edu/~rist/ ¡ rist ¡at ¡cs ¡dot ¡wisc ¡dot ¡edu ¡ University ¡of ¡Wisconsin ¡CS ¡642 ¡

  3. DNS ¡and ¡BGP ¡ University ¡of ¡Wisconsin ¡CS ¡642 ¡

  4. 128.105.5.31 ¡ We ¡don’t ¡want ¡to ¡have ¡to ¡remember ¡IP ¡addresses ¡ Early ¡days ¡of ¡ARPANET: ¡manually ¡managed ¡hosts.txt ¡served ¡from ¡ single ¡computer ¡at ¡SRI ¡

  5. Heirarchical ¡domain ¡name ¡space ¡ (unnamed) ¡root ¡ Top ¡Level ¡ org ¡ net ¡ edu ¡ com ¡ tv ¡ ca ¡ domains ¡ (TLD) ¡ Second ¡Level ¡ wisc ¡ ucsd ¡ davis ¡ domains ¡ cs ¡ ece ¡ ICANN ¡(Internet ¡CorporaXon ¡for ¡Assigned ¡ Names ¡and ¡Numbers) ¡ www ¡ root ¡nameservers ¡and ¡authoritaXve ¡nameservers ¡ max ¡63 ¡ Zone: ¡subtree ¡ characters ¡

  6. Resolving ¡names ¡ From ¡ ¡ h9p://en.wikipedia.org/wiki/File:An_example_of_theoreXcal_DNS_recursion.svg ¡

  7. Example ¡DNS ¡query ¡types ¡ A ¡ address ¡(get ¡me ¡an ¡ IPv4 ¡address) ¡ AAAA ¡ IPv6 ¡address ¡ NS ¡ name ¡server ¡ TXT ¡ human ¡readable ¡text, ¡ has ¡been ¡used ¡for ¡ some ¡encrypXon ¡ mechanisms ¡ MX ¡ mail ¡exchange ¡

  8. Caching ¡ • DNS ¡servers ¡will ¡cache ¡responses ¡ – Both ¡negaXve ¡and ¡posiXve ¡responses ¡ – Speeds ¡up ¡queries ¡ ¡ – periodically ¡Xmes ¡out. ¡TTL ¡set ¡by ¡data ¡owner ¡

  9. DNS ¡packet ¡on ¡wire ¡ Query ¡ID ¡is ¡16-­‑bit ¡ ¡ random ¡value ¡ We’ll ¡walk ¡through ¡ the ¡example ¡from ¡ Friedl’s ¡document ¡ From ¡Friedl ¡explanaXon ¡of ¡DNS ¡cache ¡poisoning, ¡as ¡ are ¡following ¡diagrams ¡

  10. Query ¡from ¡resolver ¡to ¡NS ¡

  11. Reply ¡from ¡NS ¡to ¡Resolver ¡ Response contains IP addr of next NS server (called “glue”) Response ignored if unrecognized QueryID

  12. Query ¡to ¡Second ¡NS ¡

  13. Reply ¡from ¡Second ¡NS ¡to ¡Resolver ¡ bailiwick ¡checking: ¡ ¡ ¡response ¡is ¡cached ¡if ¡ ¡ ¡it ¡is ¡within ¡the ¡same ¡ ¡ ¡ ¡domain ¡of ¡query ¡ ¡ ¡(i.e. ¡ ¡ a.com ¡ ¡cannot ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡set ¡NS ¡for ¡ b.com ) ¡ ¡

  14. Here ¡we ¡go ¡again… ¡ • What ¡security ¡checks ¡are ¡in ¡place? ¡ – Random ¡query ¡ID’s ¡to ¡link ¡responses ¡to ¡queries ¡ – Bailiwick ¡checking ¡(sanity ¡check ¡on ¡response) ¡ • No ¡authenXcaXon ¡ – DNSsec ¡is ¡supposed ¡to ¡fix ¡this ¡but ¡few ¡DNS ¡servers ¡ support ¡it ¡ • Many ¡things ¡trust ¡hostname ¡to ¡IP ¡mapping ¡ – Browser ¡same-­‑origin ¡policy ¡ – URL ¡address ¡bar ¡

  15. A9acks ¡against ¡DNS? ¡ Web ¡sites ¡ DNS ¡server ¡ Clients ¡ Internet ¡ • Corrupted ¡nameservers ¡ • Intercept ¡& ¡manipulate ¡requests ¡ • DDoS ¡ • Cache ¡poisoning ¡ • Phishing ¡/ ¡typo ¡squagng ¡/ ¡piggy-­‑backing ¡

  16. DDoS ¡against ¡DNS ¡ • Denial ¡of ¡Service ¡ – take ¡down ¡DNS ¡server, ¡clients ¡can’t ¡use ¡Internet ¡ – Feb ¡6, ¡2007 ¡a9ack ¡against ¡6 ¡of ¡13 ¡root ¡servers: ¡ • 2 ¡suffered ¡very ¡badly ¡ • Others ¡experienced ¡heavy ¡traffic ¡ • DoD ¡purportedly ¡has ¡interesXng ¡response: ¡ – “In ¡the ¡event ¡of ¡a ¡massive ¡cybera9ack ¡against ¡the ¡country ¡that ¡ was ¡perceived ¡as ¡originaXng ¡from ¡a ¡foreign ¡source, ¡the ¡United ¡ States ¡would ¡consider ¡launching ¡a ¡countera9ack ¡or ¡bombing ¡ the ¡source ¡of ¡the ¡cybera9ack, ¡Hall ¡said. ¡But ¡he ¡noted ¡the ¡ preferred ¡route ¡would ¡be ¡warning ¡the ¡source ¡to ¡shut ¡down ¡the ¡ a9ack ¡before ¡a ¡military ¡response.” ¡ ¡ ¡ ¡ – h9p://www.computerworld.com/s/arXcle/9010921/ RSA_U.S._cyber_countera9ack_Bomb_one_way_or_the_other ¡

  17. DNS ¡cache ¡poisoning ¡ bankofsteve.com ¡ Victm ¡DNS ¡server ¡ 10.1.1.1 ¡ Clients ¡ Internet ¡ A9acker ¡site ¡ 10.9.9.99 ¡ goodguy.com ¡ IP ¡= ¡10.9.9.9 ¡ How ¡might ¡an ¡a9acker ¡do ¡this? ¡ Assume ¡DNS ¡server ¡uses ¡predictable ¡UDP ¡port ¡

  19. Another ¡idea: ¡ -­‑ ¡Poison ¡cache ¡for ¡NS ¡ ¡ ¡ ¡record ¡instead ¡ -­‑ ¡Now ¡can ¡take ¡over ¡all ¡of ¡ ¡ ¡ ¡ ¡second ¡level ¡domain ¡ How ¡many ¡tries ¡does ¡ this ¡require? ¡ -­‑ Try ¡256 ¡different ¡QIDs ¡ -­‑ Good ¡chance ¡of ¡success ¡ -­‑ Repeat ¡if ¡needed ¡

  20. Does ¡happen ¡in ¡the ¡wild ¡ h9p://www.zdnet.com/blog/security/hd-­‑ moore-­‑pwned-­‑with-­‑his-­‑own-­‑dns-­‑exploit-­‑ vulnerable-­‑at-­‑t-­‑dns-­‑servers-­‑to-­‑blame/1608? tag=content;siu-­‑container ¡

  21. Defenses ¡ • Query ¡ID ¡size ¡is ¡fixed ¡at ¡16 ¡bits ¡ • Repeat ¡each ¡query ¡with ¡fresh ¡Query ¡ID ¡ – Doubles ¡the ¡space ¡ • Randomize ¡UDP ¡ports ¡ • DNSsec ¡ – Cryptographically ¡sign ¡DNS ¡responses, ¡verify ¡via ¡ chain ¡of ¡trust ¡from ¡roots ¡on ¡down ¡

  22. Phishing ¡is ¡common ¡problem ¡ • Typo ¡squagng: ¡ ¡ – www.qpple.com ¡ – www.goggle.com ¡ – www.nytmes.com ¡ • Other ¡shenanigans: ¡ – www.badguy.com/(256 ¡characters ¡of ¡filler)/ www.google.com ¡ • Phishing ¡a9acks ¡ – These ¡just ¡trick ¡users ¡into ¡thinking ¡a ¡malicious ¡domain ¡ name ¡is ¡the ¡real ¡one ¡

  26. DNS ¡piggybacking ¡ Piggy ¡backed ¡sites ¡ IP ¡ Main ¡site ¡ IP ¡ From ¡h9ps://isc.sans.edu/diary/What+s+In+A+Name+/11770 ¡ A9ackers ¡maliciously ¡added ¡extra ¡lower ¡level ¡ domain ¡names ¡to ¡valid ¡domain ¡name ¡ This ¡is ¡helpful ¡for ¡search ¡engine ¡opXmizaXon ¡

  27. BGP ¡and ¡rouXng ¡ charter.net ¡ wisc.edu ¡ BGP ¡(exterior ¡BGP) ¡ OSPF ¡within ¡AS’s ¡ (Open ¡shortest-­‑path ¡ defense.gov ¡ first) ¡

  28. BGP ¡ • Policy-­‑based ¡rouXng ¡ – AS ¡can ¡set ¡policy ¡about ¡how ¡to ¡route ¡ ¡ • economic, ¡security, ¡poliXcal ¡consideraXons ¡ • BGP ¡routers ¡use ¡TCP ¡connecXons ¡to ¡transmit ¡ rouXng ¡informaXon ¡ • IteraXve ¡announcement ¡of ¡routes ¡

  29. BGP ¡example ¡ ¡[D. ¡Wetherall] ¡ 3 2 7 3 4 1 2 7 3 2 6 5 2 6 5 2 6 5 5 2 7 8 2 6 5 7 2 6 5 2 7 7 6 2 7 7 2 6 5 5 6 7 5 2, ¡7, ¡3, ¡6 ¡are ¡Transit ¡AS ¡ • 8, ¡1 ¡are ¡Stub ¡AS ¡ • 4,5 ¡mulXhomed ¡AS ¡ • Algorithm ¡seems ¡to ¡work ¡OK ¡in ¡pracXce ¡ • – BGP ¡does ¡not ¡respond ¡well ¡to ¡frequent ¡node ¡outages ¡

  30. IP ¡hijacking ¡ • BGP ¡unauthenXcated ¡ ¡ – Anyone ¡can ¡adverXse ¡any ¡routes ¡ – False ¡routes ¡will ¡be ¡propagated ¡ • This ¡allows ¡IP ¡hijacking ¡ – AS ¡announces ¡it ¡originates ¡a ¡prefix ¡it ¡shouldn’t ¡ – AS ¡announces ¡it ¡has ¡shorter ¡path ¡to ¡a ¡prefix ¡ ¡ – AS ¡announces ¡more ¡specific ¡prefix ¡ ¡

  31. Malicious ¡or ¡misconfiguraXons? ¡ • AS ¡7007 ¡incident ¡in ¡1997 ¡ ¡ – ¡“Okay, ¡so ¡panic ¡ensued, ¡and ¡we ¡unlugged ¡ *everything* ¡at ¡12:15PM ¡almost ¡to ¡the ¡ second.” ¡[sic] ¡ – h9p://www.merit.edu/mail.archives/nanog/ 1997-­‑04/msg00444.html ¡ • China ¡Telecom ¡hijacks ¡large ¡chunks ¡of ¡Internet ¡ in ¡2010 ¡ – h9p://bgpmon.net/blog/?p=282 ¡

  32. Youtube ¡incident ¡ • Pakistan ¡a9empts ¡to ¡block ¡Youtube ¡ – youtube ¡is ¡ ¡208.65.152.0/22 ¡ – youtube.com = 208.65.153.238 • Pakistan ¡ISP ¡adverXses ¡208.65.153.0/24 ¡ – more ¡specific, ¡prefix ¡hijacking ¡ • Internet ¡thinks ¡youtube.com ¡is ¡in ¡Pakistan ¡ • Outage ¡resolved ¡in ¡2 ¡hours… ¡

Recommend

Web Security CS642: Computer Security Professor Ristenpart

Web Security CS642: Computer Security Professor Ristenpart

Web Security CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu Liberal borrowing from Mitchell, Boneh,

599 views • 36 slides
Web Security CS642: Computer Security Professor Ristenpart

Web Security CS642: Computer Security Professor Ristenpart

Web Security CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu Liberal borrowing from Mitchell, Boneh,

578 views • 34 slides
CS642: Computer Security Drew Davidson davidson@cs.wisc.edu From

CS642: Computer Security Drew Davidson davidson@cs.wisc.edu From

X86 Review Process Layout, ISA, etc. CS642: Computer Security Drew Davidson davidson@cs.wisc.edu From Last Week ACL-based permissions (UNIX style)

672 views • 28 slides
CS642: Computer Security Professor Ristenpart

CS642: Computer Security Professor Ristenpart

Diffie-Hellman, Side-channels, RNGs CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University

494 views • 26 slides
Web Security Part 2 CS642: Computer Security Professor

Web Security Part 2 CS642: Computer Security Professor

Web Security Part 2 CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu Liberal borrowing from

933 views • 37 slides
OS Security Basics CS642: Computer Security Professor

OS Security Basics CS642: Computer Security Professor

OS Security Basics CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University of Wisconsin CS 642

811 views • 54 slides
Web Security Part 2 CS642: Computer Security Professor

Web Security Part 2 CS642: Computer Security Professor

Web Security Part 2 CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu Liberal borrowing from

576 views • 38 slides
Web Security Part 2 CS642: Computer Security Professor

Web Security Part 2 CS642: Computer Security Professor

Web Security Part 2 CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu Liberal borrowing from

827 views • 39 slides
Web Security Part 2 CS642: Computer Security Professor

Web Security Part 2 CS642: Computer Security Professor

Web Security Part 2 CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu Liberal borrowing from

636 views • 40 slides
OS Security Basics CS642: Computer Security Professor

OS Security Basics CS642: Computer Security Professor

OS Security Basics CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University of Wisconsin CS 642

630 views • 51 slides
OS Security Basics CS642: Computer Security Professor

OS Security Basics CS642: Computer Security Professor

OS Security Basics CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University of Wisconsin CS 642

985 views • 53 slides
CS642: Computer Security Professor Ristenpart

CS642: Computer Security Professor Ristenpart

Low-level soEware vulnerability protecGon mechanisms CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot

733 views • 55 slides
CS642: Computer Security Professor Ristenpart

CS642: Computer Security Professor Ristenpart

Low-level soEware vulnerability protecGon mechanisms CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot

919 views • 47 slides
Link layer security CS642: Computer Security Professor

Link layer security CS642: Computer Security Professor

Link layer security CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University of Wisconsin CS

603 views • 42 slides
Link layer security CS642: Computer Security Professor

Link layer security CS642: Computer Security Professor

Link layer security CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University of Wisconsin CS

606 views • 41 slides
TCP/IP security CS642: Computer Security Professor Ristenpart

TCP/IP security CS642: Computer Security Professor Ristenpart

TCP/IP security CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University of Wisconsin CS 642

931 views • 56 slides
Cloud security CS642: Computer Security Professor Ristenpart

Cloud security CS642: Computer Security Professor Ristenpart

Cloud security CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University of Wisconsin CS 642

354 views • 33 slides
Cloud security CS642: Computer Security Professor Ristenpart

Cloud security CS642: Computer Security Professor Ristenpart

Cloud security CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University of Wisconsin CS 642

934 views • 42 slides
Cloud security CS642: Computer Security Professor Ristenpart

Cloud security CS642: Computer Security Professor Ristenpart

Cloud security CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University of Wisconsin CS 642

567 views • 43 slides
Network reconnaissance and IDS CS642: Computer Security

Network reconnaissance and IDS CS642: Computer Security

Network reconnaissance and IDS CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University of

655 views • 43 slides
Network reconnaissance and IDS CS642: Computer Security

Network reconnaissance and IDS CS642: Computer Security

Network reconnaissance and IDS CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University of

701 views • 44 slides
Asymmetric encrypCon CS642: Computer Security Professor

Asymmetric encrypCon CS642: Computer Security Professor

Asymmetric encrypCon CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University of Wisconsin CS 642

662 views • 33 slides
Symmetric encrypBon CS642: Computer Security Professor

Symmetric encrypBon CS642: Computer Security Professor

Symmetric encrypBon CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University of Wisconsin CS 642

554 views • 42 slides
Finding vulnerabiliFes CS642: Computer Security Professor

Finding vulnerabiliFes CS642: Computer Security Professor

Finding vulnerabiliFes CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University of Wisconsin CS 642

637 views • 48 slides

More recommend