<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<HTML>
<HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=utf-8">
<META NAME="Generator" CONTENT="MS Exchange Server version 6.5.7653.21">
<TITLE>Re: [AusNOG] DNS Cache Poisoning Vulnerability</TITLE>
</HEAD>
<BODY>
<!-- Converted from text/plain format -->
<BR>

<P><FONT SIZE=2>I'll get the guys to check -  they assured me our DNS servers were upgraded a few weeks back, so this is a little strange...<BR>
<BR>
Bob Purdon<BR>
General Manager,<BR>
Managed Infrastructure,<BR>
PIPE Networks Limited (ASX:pwk)<BR>
<BR>
Phone  : +61 7 3233 9844<BR>
Fax    : +61 7 3233 9885<BR>
Web    : www.pipenetworks.com<BR>
<BR>
Any information transmitted in this message and its attachments is intended only for the person or entity to which it is addressed. The above email correspondence should be read in conjunction with our standard disclaimer/terms which can be found at www.pipenetworks.com/docs/disclaimer.htm<BR>
<BR>
----- Original Message -----<BR>
From: ausnog-bounces@lists.ausnog.net <ausnog-bounces@lists.ausnog.net><BR>
To: ausnog@ausnog.net <ausnog@ausnog.net><BR>
Sent: Fri Aug 08 08:05:06 2008<BR>
Subject: Re: [AusNOG] DNS Cache Poisoning Vulnerability<BR>
<BR>
That is quite a handy and easy to use tool.  ausnog.net's nameservers<BR>
need patching though by<BR>
the looks :<BR>
<BR>
"Highly vulnerable.<BR>
<BR>
The servers tested for AUSNOG.NET are highly vulnerable to cache<BR>
poisoning. Immediate action should be taken to rectify the problem."<BR>
<BR>
I'm sure someone on this list will be able to rectify that.<BR>
<BR>
Brent<BR>
<BR>
Brent Paddon<BR>
<BR>
Director | Over the Wire Pty Ltd<BR>
brent.paddon@overthewire.com.au | www.overthewire.com.au<BR>
Phone: 07 3847 9292 | Fax: 07 3847 9696 | Mobile: 0400 2400 54 | Direct: 07 3503 4807<BR>
<BR>
<BR>
<BR>
Kim Davies wrote:<BR>
> Hi folks,<BR>
><BR>
> A number of you have likely heard about this already, but just in case<BR>
> not, this is a fairly serious issue that deserves a few minutes of<BR>
> attention.<BR>
><BR>
> Recently, it was discovered that the amount of entropy in DNS queries is<BR>
> relatively low in typical DNS software implementations, making the<BR>
> ability to spoof answers a fairly trivial exercise that can take as<BR>
> little as a second. This can be used to poison DNS caches, and<BR>
> ultimately introduce false data into the DNS.<BR>
><BR>
> This is important on two distinctly different fronts:<BR>
><BR>
> 1) Recursive name servers should have the maximum amount of entropy<BR>
>    to provide the strongest resistance to spoofed DNS responses. This won't<BR>
>    solve the problem, but helps mitigate the risk. There are<BR>
>    patches for BIND etc. now available to randomise the source port of<BR>
>    queries to aid this. To test a recursive name server you can use<BR>
>    the tool at<BR>
><BR>
>    <A HREF="https://www.dns-oarc.net/oarc/services/dnsentropy">https://www.dns-oarc.net/oarc/services/dnsentropy</A><BR>
><BR>
> 2) For domain registrants, the authoritative name server for your<BR>
>    domain can be affected if they also offer recursive name service.<BR>
>    The effects of cache poisoning can therefore introduce false<BR>
>    data into your zone. To test for vulnerable servers, there is a<BR>
>    new tool at<BR>
><BR>
>    <A HREF="http://recursive.iana.org/">http://recursive.iana.org/</A><BR>
><BR>
>    The solution to this problem is to separate recursive and<BR>
>    authoritative name service from one another.<BR>
><BR>
> There is also an FAQ, focused on part 2, at<BR>
> <A HREF="http://www.iana.org/reports/2008/cross-pollination-faq.html">http://www.iana.org/reports/2008/cross-pollination-faq.html</A><BR>
><BR>
> cheers,<BR>
><BR>
> kim<BR>
> _______________________________________________<BR>
> AusNOG mailing list<BR>
> AusNOG@lists.ausnog.net<BR>
> <A HREF="http://lists.ausnog.net/mailman/listinfo/ausnog">http://lists.ausnog.net/mailman/listinfo/ausnog</A><BR>
>  <BR>
_______________________________________________<BR>
AusNOG mailing list<BR>
AusNOG@lists.ausnog.net<BR>
<A HREF="http://lists.ausnog.net/mailman/listinfo/ausnog">http://lists.ausnog.net/mailman/listinfo/ausnog</A><BR>
</FONT>
</P>

</BODY>
</HTML>