home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / hacking / internet / dns_dos.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  3.8 KB  |  83 lines
  1.                    Microsoft DNS Server
  2.                           Subject to Denial of Service Attack
  3.  
  4.                             Reported May 27 ,1997 by Stefan Arentz
  5.  
  6.   Systems Affected
  7.  
  8.   Windows NT 4.0, up to Service Pack 3, running the MS DNS Server
  9.  
  10.   The Problem
  11.  
  12.   Microsoft DNS can be made to crash by redirecting the output of the Chargen service to the MS DNS
  13.   service. A typical attack might be launched from a system using the following command:
  14.  
  15.   $ telnet ntbox 19 | telnet ntbox 53
  16.  
  17.   The above command is shown as seen on a UNIX command line. Once the command is issued, a telnet
  18.   session is opened on port 19 (chargen) of the ntbox, and all output is redirected to a second telnet
  19.   session opened on port 53 (dns) of the same ntbox. Launching the attack in this manner may subject the
  20.   attacker to the same barrage of packets the DNS service will experience. But none-the-less, the attack is
  21.   successful in crashing MS DNS.
  22.  
  23.   Stopping the Attack
  24.  
  25.   Stopping the attack is done by performing one of the following: 
  26.  
  27.   Don't run MS DNS until it's proven to be less bug ridden. Instead, you may opt for running a free version of
  28.   BIND for NT which is not subject to this attack. If you rely on MS DNS interoperating with WINS, you may
  29.   opt for MetaInfo's DNS, which is a direct BIND port and works great in conjunction with WINS. If you must
  30.   go on using MS DNS, be forewarned that it may be incredibly difficult to stop this attack, since it can be
  31.   done through impersonation and by using non-standard ports for chargen. 
  32.  
  33.   You can block port TCP port 53 using NT's built-in TCP/IP filtering. This stops zone transfers and TCP
  34.   based name resolutions. This does not stop the UDP port 53 from continuing to operate normally. DNS
  35.   normally relies on UDP for its name resolution transactions. 
  36.  
  37.   Or, you can filter TCP port 53 on your routers to bordering networks, allowing only trusted secondary DNS
  38.   servers to do zone transfers. 
  39.  
  40.   Any one of the above three solutions should help you stop the attack cold. 
  41.  
  42.   This type of attack (pointing chargen output to other ports) can go along way towards bogging down lots of
  43.   services, some of which die like MS DNS. You'd be well advised to disable NT's Simple TCP/IP Services
  44.   (if installed) using Control Panel | Services. This stops the chargen, echo, daytime, discard, and quote of
  45.   the day (qotd) services. Any of which could be used for denial of service attacks. None of these services
  46.   are required for proper network operation - although you should be aware that a few types of network
  47.   monitors occasionally test the echo port when they cannot get a response using ping. If you find the need
  48.   to run one or more of these services independant of the others, you can turn on/off each respective service
  49.   by adjusting Registry entries found in the following subtree:
  50.  
  51.   HKEY_LOCAL_MACHINE\CurrentControlSet\Services\SimpTcp\Parameters
  52.  
  53.   By changing the established value of both the EnableTcpXXXX and EnableUdpXXXX parameters from 0x1 to
  54.   0x0, you effectively disable that particular service.
  55.  
  56.   The following parameters are available for adjustment:
  57.  
  58.        EnableTcpChargen 
  59.        EnableTcpDaytime 
  60.        EnableTcpDiscard 
  61.        EnableTcpEcho 
  62.        EnableTcpQotd 
  63.        EnableUdpChargen 
  64.        EnableUdpDaytime 
  65.        EnableUdpDiscard 
  66.        EnableUdpEcho 
  67.        EnableUdpQotd
  68.  
  69.   BE CAREFUL WHEN MAKING REGISTRY CHANGES, AS ERRORS CAN RENDER A SYSTEM
  70.   NON-BOOTABLE. 
  71.  
  72.   Keep in mind that this does not stop attacks that originate from other system's chargen ports, nor will it
  73.   stop impersonated port attacks.
  74.  
  75.   Microsoft's Response:
  76.  
  77.   On June 10, 1997, Microsoft posted Hotfixes for this and other DNS related problems on the FTP site.
  78.  
  79.   If you want to learn more about new NT security concerns, subscribe to NTSD. 
  80.  
  81.   Credit: 
  82.   Stefan Arentz
  83.   Post here on The NT Shop May 27, 1997