Re: tp dns pharming?

Autor: Jacek Zapała <jacek_at_it.pl>
Data: Fri 16 Jul 2010 - 11:54:07 MET DST
Message-ID: <1279274047.8274.21.camel@jacek.it.pl>
Content-Type: text/plain; charset=UTF-8

On Thu, 2010-07-15 at 18:57 +0000, Tomasz Tomkowiak wrote:
> A wiec bajka o zlej krolewnie wyglada tak:
>
> # host smtvsat.pl dns2.tpsa.pl
> smtvsat.pl A 212.91.7.33
> # host smtvsat.pl dns2.tpsa.pl
> smtvsat.pl A 80.48.166.116
>
> Pierwszy wynik (ip) nie jest moim IN A, drugi jest moim.
> I dns.tpsa.pl i dns2.tpsa.pl sobie flapuja ipkami z ktorych jeden to
> jakis... wredny joke. Jak rozumiem to jakis pharming, dns poisoning, etc.
> Ten 212.91.7.33 = dropped.pl = aftermarket.pl

Jak ktoś słusznie zauważył, podejrzany jest jeden rekord NS na części
dns2.tpsa.pl:

$ dig smtvsat.pl @dns2.tpsa.pl ns

; <<>> DiG 9.7.0-P1 <<>> smtvsat.pl @dns2.tpsa.pl ns
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 12162
;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;smtvsat.pl. IN NS

;; ANSWER SECTION:
smtvsat.pl. 27355 IN NS ns1.xname.org.
smtvsat.pl. 27355 IN NS trzcianka.eu.org.
smtvsat.pl. 27355 IN NS trzcianka.one.pl.
smtvsat.pl. 27355 IN NS fns1.42.pl.

;; Query time: 1 msec
;; SERVER: 194.204.152.34#53(194.204.152.34)
;; WHEN: Fri Jul 16 11:40:33 2010
;; MSG SIZE rcvd: 132

Pewnie wiesz albo możesz się domyślić, skąd się tam wziął (skoro inna
trzcianka występuje w delegacji i nie budzi Twoich zastrzeżeń).
Jego adres to na częsci dns2.tpsa.pl 80.54.68.5 a na części -
212.91.7.33.

$ whois one.pl

DOMAIN: one.pl
registrant's handle: mjp_du_000058d8 (INDIVIDUAL)
nameservers: ns1.je.st.
                       virgo.kasat.net.
                       ns1.eisp.pl. [82.96.94.47]
created: 1999.09.02 13:00:00
last modified: 2010.07.13 18:03:27

option created: 2008.02.01 00:05:34

TECHNICAL CONTACT:
company: Michau Enterprises Limited
        http://www.AfterMarket.pl/
street: Chytron 26, Office 21
city: 1075 Nicosia
location: CY
handle: mjp_tech
phone: +357.22761649
last modified: 2010.04.27

Problemu by nie było, gdybyś użył dnssec i podpisał smtvsat.pl (i
zarejestrował klucz w dlv.isc.org), a tpsa dokonywała weryfikacji
podpisu.
Ale o ile pierwszą część możesz zrobić w pół godziny, to na drugą pewnie
przyjdzie jeszcze trochę poczekać.

        Jacek
Received on Fri Jul 16 11:55:02 2010

To archiwum zosta³o wygenerowane przez hypermail 2.1.8 : Fri 16 Jul 2010 - 12:40:00 MET DST