DNS spoofing: differenze tra le versioni

 

[[File:maninthemiddle.PNG|left|thumb|none]]

 

L'attaccante riceverà pacchetti contenenti richieste da ambo due le parti ed il suo ruolo è quello di preoccuparsi d'inoltrare i pacchietti che riceve verso la giusta destinazione,in modo che hai due reali end pointer non risulti compromessa la comunicazione.

In base alle abilità dell'accattacante di monitorare la connessione (in un solo verso dall' host a all' host b, o in ambidue i sensi da a verso b e da b verso a )l'attacco prende il nome di [[man in the middle]] half duplex o [[man in the middle]] [[full duplex]].

[[File:half e full.PNG|left|thumb|nome]]

Un possibile fine di queste tipologie d'attacchi può essere quello di rubare tutte le credenziali oppure monitorare e alterare la comunicazione tra 2 utenti.

 

Quest’operazione consiste in una query al DNS, che dopo aver trovato l'indirizzo ip tramite varie chiamate ad altri server Dns lo comunica alla macchina richiedente (di fatto se al posto del sito scriviamo il relativo ip d'esempio 202.159.XXX.XXX il sito sarebbe comunque raggiungibile).

[[File:dns gerarchia.PNG|left|thumb|]]

 

La struttura reale di una query è molto più complessa ed articolata ma semplifichiamo il tutto ed utilizziamo solo ciò che serve ai fini dell’attacco.

Un pacchetto Dns lo possiamo immaginare così fatto :

[[File:pacchetto.PNG|left|thumb|]]

 

L'obbiettivo dello spoofing è il campo question, in quanto ogni domanda e ogni risposta hanno un tipo specifico,quello che interessa ai fini dell’attacco è l’ “A type” ovvero colui che contiene la corrispondenza tra indirizzo ip e nome del sito.

Un host fa una richiesta di un indirizzo(esempio www.prova.org) al suo server Dns, se tale indirizzo non è in memoria,parte una query al dns del dominio corrispondente,ora supponiamo che questo server sia stato avvelento quindi risponderà al server Dns con una mappatura sbagliata e di conseguenza si avvelenerà anche lui la cache (avvelenamento temporaneo poichè i dati nella cache hanno un time to live).

[[File:uotoavvelenamento dns.PNG|left|thumb|]]

 

*Dns Id spoofing

Questa tipologia d’attacco dal punto di vista esplicativo è molto semplice ,avendo accesso a un name server autoritativo non facciamo nient’altro che alterare la tabella,modificando manualmente gli indirizzi ip che ci interessano.

 

 

Per quanto riguarda la simulazione delle risposte del Dns la prima contromisura è sicuramente accorgersi d'esser sotto attacco e ciò è possibile individuando eventuali risposte multiple (IDS).

pippo: nano /usr/share/ettercap/etter.dns

 

 

in questo modo abbiamo reindirizzato tutte le connessioni di microsoft su linux.

Nel caso in cui vorremmo reindirizzare un generico sito su un altro indirizzo basta aprire il file etter.dns con nano (nano /usr/share/ettercap/etter.dns) o con qualsiasi altro editor di testo,ed analizzarne la prima parte del file che si presenta nel seguente modo :

 

 

in questa prima parte del file spiega come devono essere strutturate le query, per cui se volessimo reindirizzare più siti basterà aggiungere al file più strutture identiche a quelle dell’esempio, dove al posto di microsoft inseriamo il sito che si vuole reindirizzare e al posto dell’indirizzo ip di linux utilizamo l’indirizzo ip di dove si vuol reindirizzare la query .Va ricordato che bisogna anche cambiare la reverse query (PTR)