Wikipedia

DNS spoofing: differenze tra le versioni

Naviga nella cronologia in modo interattivo
← Differenza precedenteDifferenza successiva →
annullaFrescoBot (discussione | contributi)
Bot
3 592 630 modifiche
Contenuto cancellato Contenuto aggiunto
VisualeWikitesto
Recupero di 1 fonte/i e segnalazione di 0 link interrotto/i. #IABot (v1.6.5)
FrescoBot (discussione | contributi)
Bot
3 592 630 modifiche
m Bot: spazio dopo il punto fermo e modifiche minori
Riga 3:
Il '''DNS spoofing''' è un [[attacco informatico]], facente parte di una categoria più vasta denominata ''[[man in the middle]]''.
 
==Introduzione==
 
Gli attacchi di tipo ''[[man in the middle]]'' consistono nel deviare i pacchetti (in una comunicazione tra due host) verso un attaccante, che finge di essere il mittente o destinatario vero.
Riga 27:
 
Una DNS query la possiamo immaginare nel modo seguente:
[[File:Pachets dns.JPG|center|thumb|]]
 
Tale attacco può esser effettuato in varie modalità:
Riga 35:
L'obiettivo dello spoofing è modificare la corrispondenza tra indirizzo ip e nome del sito contenuti nelle risposte.
 
===Simulazione delle risposte del DNS (in una rete locale o da locale a remoto)===
 
Questa tipologia d'attacco deve considerare l'ID della query. L'attaccante intercetta la richiesta di un client, memorizza l'ID contenuto all'interno del messaggio, e crea una falsa risposta con il giusto ID copiato precedentemente. Alla fine rispedisce il tutto al client che ha fatto la query. Affinché l'attacco riesca è necessario rispondere con l'ID atteso dal client prima del vero server. In questo modo il client crede che l'host attaccante sia il server. Questo perché il client accetta la prima risposta che gli viene inviata con id atteso (race condition). Infine è necessario anche intercettare le eventuali reverse query (quelle che traducono indirizzo ip a nome simbolico), perché se parte una nuova richiesta e non la s'intercetta, la vittima può accorgersi che al nome simbolico non corrisponde l'IP ricevuto dal falso DNS.
Riga 53:
 
Un host fa una richiesta di un nome di dominio (ad esempio www.prova.org) al suo server DNS, se tale indirizzo non è in memoria, parte una query al DNS del dominio corrispondente. Se questo server è stato avvelenato risponderà con una mappatura sbagliata e di conseguenza si avvelenerà anche il primo server DNS (avvelenamento temporaneo poiché i dati nella cache hanno un time to live).
[[File:Autopoison.JPG|center|thumb|]]
 
*DNS Id spoofing
Riga 68:
Se l'attacco riesce, a questo punto qualsiasi utente che usufruisce di quel determinato server DNS ed esegue query per siti attendibili riceve come risposte corrispondenze ip/nome simbolico sbagliate dovute all'avvelenamento della cache. Questa tipologia d'attacco non è facilmente intercettabile. Si può essere sotto attacco per un lungo periodo senza che ci si accorga facilmente d'esserlo, tuttavia è quasi impossibile trovare name server vulnerabili a quest'attacco ormai considerato obsoleto.
 
===Manomissione fisica del DNS===
 
Questa tipologia d'attacco è molto semplice, ma solo se si ha accesso a un name server e possibilità di modificare direttamente i record cambiando manualmente gli indirizzi ip di interesse per l'attaccante.
Riga 81:
*In merito al poison cache, è ormai impossibile trovare server vulnerabili a questo tipo d'attacco considerato obsoleto.
 
===Esempio di DNS spoofing===
 
L'esempio utilizza la tecnica di simulazione del DNS su una rete locale con il programma ettercap, usando come configurazione quella d'esempio contenuta nel file etter.dns (per vedere tale configurazione basta aprire il file etter.dns del programma stesso). Per eseguire l'esempio è necessario un personal computer con sistema operativo linux ed ettercap installato.
Riga 93:
topolino vuole collegarsi al sito www.icann.org (utilizzeremo la configurazione di default d'ettercap) e pippo vuole eseguire una simulazione delle risposte del DNS su topolino; per far ciò esegue il seguente comando:
 
pippo: ettercap -T -M arp:remote /192.168.1.9/ /192.168.1.1/ -P dns_spoof <ref name="paper mint">[http://www.blackhats.it/en/papers/Paper-mitm.pdf blackhats.it]</ref>
 
Con questo comando <ref name="paper mint" /> digitato da console, pippo (computer host 1) 192.168.1.9 si è finto gateway (192.168.1.1) e ha reindirizzato le richieste di topolino (host 2) 192.168.1.5 indirizzate a www.icann.org direttamente su www.example.com; ovviamente per far funzionare il tutto deve configurare il reindirizzamento nel seguente modo (cosa già fatta come esempio all'interno del file) pippo: nano /usr/share/ettercap/etter.dns
 
[[File:Etter.JPG|640*480px|center|]]
Riga 115:
Ettercap
 
È uno sniffer evoluto, sviluppato da due programmatori italiani, che permette di sniffare tutto il traffico presente in rete anche in presenza di [[switch]]. Inoltre offre una serie di funzioni che lo rendono un software molto valido. Tra queste funzioni abbiamo:
 
*SSH 1 e HTTPS password sniffing;
Riga 155:
*[[Full duplex]]
 
==Collegamenti esterni==
 
# [http://arpon.sf.net ArpON]
Estratto da "https://it.wikipedia.org/wiki/DNS_spoofing"