IP reversing

Le
SELS INGENIERIE
Bonjour la liste,

Je profite des post de sécurité que je vois passé ces derniers temps
pour évoquer l'utilisation
de L'IP reversing pour connaître l'ensemble des domaines hébergés sur un
serveur web.

Cela peut poser des soucis car il fournit des informations sur les
autres hébergements. (Toute divulgation d'information
non maîtrisé constitue potentiellement une source d'info pour les
attaquesrecherche d'hebergement utilisant
le même CM par exemple)

J'aimerais sécuriser cela mais je n'arrive pas à comprendre comment à
partir d'une simple IP il arrive à questionner
le serveur DNS pour obtenir tous les domaines pointant sur ce même serveur.

A moins que cela soit un exploit côté Apache.

J'ai installé Apache 2 et Named packagé Debian Etch, j'ai lu les
correctifs apportés par les mainteneurs de paquet.

Leur travail est remarquable et je les remercies mais je reste sans
réponse. Je ne pense pas que cela vienne de la configuration de Named
car je n'ai aucune trace des logs de tranferts ou query pour les
domaines en question.

Si d'autres personnes sont dans le même cas que moi ou que vous avez des
pistes, ça eclairera ma lanterne.

merci

PS: exemple de site effectuant de l'IP reversing
http://www.domaintools.com/reverse-ip/

--
Jean Christophe PAROLA


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Jean-Michel Schelcher
Le #18206901
Bonjour,

On 23/12 09:52, SELS INGENIERIE wrote :
J'aimerais sécuriser cela mais je n'arrive pas à comprendre comment à
partir d'une simple IP il arrive à questionner
le serveur DNS pour obtenir tous les domaines pointant sur ce même serv eur.



Je ne sais pas du tout comment ils font, mais la solution la plus "simple"
serait amha celle du moteur de recherche. En gros ils connaissent tous les
sites du web, résolvent leurs IP et la stockent dans une base, puis lors d'une
demande reverse-ip ressortent la liste des sites.

Je ne pense pas que ce soit un problème coté apache ou bind, étant do nné que
domaintools fait payer se service, il doit y avoir un *vrai* travail derri ère
(indexation) plus complexe qu'une simple requête DNS.

Vos avis ?

a+

Jean-Michel

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Stephane Bortzmeyer
Le #18210971
On Tue, Dec 23, 2008 at 10:08:40AM +0100,
Jean-Michel Schelcher a message of 35 lines which said:

Je ne sais pas du tout comment ils font, mais la solution la plus
"simple" serait amha celle du moteur de recherche. En gros ils
connaissent tous les sites du web, résolvent leurs IP et la stockent
dans une base, puis lors d'une demande reverse-ip ressortent la
liste des sites.



Je pense que c'est en effet la bonne explication. Je ne vois
d'ailleurs pas d'autre possibilité.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
mouss
Le #18211101
Stephane Bortzmeyer a écrit :
On Tue, Dec 23, 2008 at 10:08:40AM +0100,
Jean-Michel Schelcher a message of 35 lines which said:

Je ne sais pas du tout comment ils font, mais la solution la plus
"simple" serait amha celle du moteur de recherche. En gros ils
connaissent tous les sites du web, résolvent leurs IP et la stockent
dans une base, puis lors d'une demande reverse-ip ressortent la
liste des sites.



Je pense que c'est en effet la bonne explication. Je ne vois
d'ailleurs pas d'autre possibilité.




ils prennent les "stats" des registrars, ce qui leur fait une liste de
domaines (on peut le deviner en testant avec un domaine qui n'est jamais
utilisé, et donc pas référencé).

et effectivement, ils doivent faire la résolution "directe" pour trouver
les IPs et construire ainsi une base de données.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
François Boisson
Le #18213621
Le Tue, 23 Dec 2008 10:08:40 +0100
Jean-Michel Schelcher
Je ne sais pas du tout comment ils font, mais la solution la plus "simple"
serait amha celle du moteur de recherche. En gros ils connaissent tous les
sites du web, résolvent leurs IP et la stockent dans une base, puis lors
d'une demande reverse-ip ressortent la liste des sites.



J'ai regardé, seul les domaines non associés à un adresse dynamique (malgré
l'IP) genre homeip.net et les noms diffusés sont accessibles. Un site
pointant vers la même IP mais dont le nom n'est pas diffusé n'est pas dans la
base...

François Boisson

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
François Boisson
Le #18225211
Le Fri, 26 Dec 2008 19:01:27 +0100


merci Jean-Michel pour ta recherche mais qu'entends-tu par "si le nom n'est
pas diffusé
il n'est pas dans la base".




En fait je pensais à noms complets, par exemple, pour le domaine agreg.org, il
y a plusieurs nom toto.agreg.org, etc mais seul agreg.org apparait dans la
base, donc seul le nom du domaine est présent. Je pense qu'effectivement il
regarde les stats sur les noms de domaines pour faire leur base mais ne
regarde pas chaque site... Rien n'empêche que toto.agreg.org soit sur une
autre IP que agreg.org, cette IP là n'est pas trouvée.

François Boisson

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Pascal Hambourg
Le #18314721
Mario victor-oscar a écrit :

En lisant votre poste, je me suis posé la question concernant les
interrogations sur les recherche inversées ARPA, pourquoi ne pourrait ils
pas réaliser une recherche des PTRs pour une IP.



Je ne comprends pas la question. Un reverse DNS IPv4 est un
enregistrement PTR sous in-addr.arpa (et ip6.arpa pour un reverse IPv6).

En parallele, j'aimerais bien avoir des éclaircissements concernant la
manière dont ces PTRs sont créés une fois la demande d'enregistrement du nom
de domaine réalisée.
qui le réalise, est-ce automatique, défini dans un protocole ?



Il n'y a rien d'automatique défini dans un protocole pour une bonne
raison : les zones directes et inverses sont gérées par des entités a
priori distinctes. Une zone directe est gérée par le détenteur du nom de
domaine, alors qu'une zone inverse est gérée par le détenteur du bloc
d'adresses correspondant.

Si on a plusieurs noms de domaines pour une IP, pourquoi le PTR n'aurait pas
plusieurs réponses ? même si une seule serait exploitée.



C'est possible, mais si une adresse est associée à un grand nombre de
noms de domaines (ex: serveur mutualisé), l'enregistrement PTR inverse
correspondant serait très long s'il devait contenir tous les noms. Le
protocole DNS limite la longueur des datagrames UDP à 512 octets (plus
en EDNS), au-delà il faut passer en TCP ce qui est beacoup plus lourd,
avec la séquence suivante :
requête en UDP
réponse "trop long pour UDP"
connexion TCP
requête TCP
réponse TCP
déconnexion TCP

D'autre part une adresse n'est censée avoir qu'un seul enregistrement
inverse qui correspond à son nom "canonique".

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
mouss
Le #18361801
Mario victor-oscar a écrit :
Salut la liste,

En lisant votre poste, je me suis posé la question concernant les
interrogations sur les recherche inversées ARPA, pourquoi ne pourrait
ils pas réaliser une recherche des PTRs pour une IP.




parce que tous les domaines n'y sont pas.

prenons un premier exemple: n'importe qui peut avoir un compte gratuit
chez free, avec un site toto.free.fr. Imaginons que free mette alors
tous ces noms dans les PTRs de ses serveurs web.

prenons un autre: j'achète un domaine et je veux l'utiliser pour un
serveur web, disons www.joe.example. je ne vois aucune raison de
m'emmerder à aller embêter les gestionnaires du reverse pour y mettre ce
nom? et si j'ajoute une IP, faut que je recommence? et si j'en enlève
une, encore, ... etc. et tout ça pourquoi?

En parallele, j'aimerais bien avoir des éclaircissements concernant la
manière dont ces PTRs sont créés une fois la demande d'enregistrement du
nom de domaine réalisée.
qui le réalise, est-ce automatique, défini dans un protocole ?




En général, c'est l'ISP, l'hebergeur, ... qui le fait pour les blocs
qu'il gère. Parfois, on peut avoir une délégation pour gérer son
reverse. chez certains (free.fr, ovh, ...), on peut choisir son reverse
via une interface d'admin, chez d'autres, on peut le demander. (en
général, il faut d'abord que le "forward" soit configuré et propagé).

Si on a plusieurs noms de domaines pour une IP, pourquoi le PTR n'aurait
pas plusieurs réponses ? même si une seule serait exploitée. Si c'est le
cas, rien n'empecherait d'utilisé un client qui récupérait
alternativement ou en une fois les PTRs associés à l'adresse IP.

qu'en pensez vous ?




ça ne sert à rien de mettre plusieurs PTRs. Le PTR "identifie" l'IP, et
non l'organisation ou le service (qui eux sont "identifiés" par des noms).

Il ne faut pas confondre avec les pratiques suivantes:
- mettre une même IP comme A de plusieurs noms différents, qui sert pour
le multi-homing.
- mettre plusieurs IPs comme A pour un seul nom, qui sert pour la
redondance.

pour les IPs, aucun client ne vas résoudre le PTR pour se connecter à un
nom, car si on a l'IP, on s'y connecte!

le PTR est généralement utilisé lorsque la machine agit en client et se
connecte à un serveur qui veut vérifier son nom. Mais dans ce cas, voici
ce qui "peut se passer":

Dans certains protocoles, principalement pour SMTP, quand un serveur
reçoit une connexion, il fait l'opération suivante:
1- résoudre l'IP.ça donne un PTR. en général, on garde le premier PTR
retourné.
2- on résoud ce PTR, et ça donne plusieurs IPs
3- on compare ces IPs à l'IP originale.
Il "faut" qu'une de ces IPs soit égale à l'IP originale. Si oui, on
utilise ce PTR comme "hostname" et on dir qu'il est "confirmé" (on
entend parfois FcrDNS, "forward confirmed reverse dns", mais c'est un
très gros mot, n'est-ce pas?). Sinon, on ne fait pas confiance au nom
(postfix dira que c'est "unknown").

La raison de cette double résolution est qu'une entité qui gère le
reverse pourrait décider de dire que ses IPs sont joe.microsoft.com,
titi.google.com, ... etc. en faisant une double résolution, on évite un
peu ce problème (en admettant qu'on peut faire confiance au DNS, mais
c'est un autre sujet).

Imaginons donc ce qui se passerait si à l'étape 1 je garde tous les
PTRs. j'ai une IP qui donne: joe.domain1.example, ji.domain2.example,
... tata.domain23.example. à l'étape 2, je vais donc me taper 23
requêtes? du coup, la solution retenue est de ne garder que le premier
résultat. Mais dans le cas d'un Round Robin, le premier est aléatoire.
du coup, pour que le nom soit "vérifié" à coup sûr, il faut qu'il le
soit pour tous les PTRs, ce qui fait 23 occasions de se planter au lieu
d'une! Et tout ça pourquoi? rien.

Ue principe général: plus il y a des données, plus il y a des chances de
faire des erreurs, et plus c'est dur de maintenir la cohérence.


Mais tout ça, c'est pour IPv4. si on voulait faire ça pour IPv6, on va
rigoler encore plus (et seulement le weekend. en semaine, on risque de
pleurer ;-p). du coup, plusieurs voix se sont élevés contre le reverse...

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Publicité
Poster une réponse
Anonyme