Wikipedia

DNS spoofing: differenze tra le versioni

Naviga nella cronologia in modo interattivo
← Differenza precedenteDifferenza successiva →
annullaPracchia-78 (discussione | contributi)
Utenti autoverificati
258 283 modifiche
Contenuto cancellato Contenuto aggiunto
VisualeWikitesto
Typo fixing, typos fixed: using AWB
Riga 13:
 
L'attaccante riceverà pacchetti contenenti richieste da ambo due le parti ed il suo ruolo è quello di preoccuparsi d'inoltrare i pacchietti che riceve verso la giusta destinazione,in modo che hai due reali end pointer non risulti compromessa la comunicazione.
In base alle abilità dell'accattacante di monitorare la connessione (in un solo verso dall' host a all' host b, o in ambidue i sensi da a verso b e da b verso a ) l'attacco prende il nome di [[man in the middle]] half duplex o [[man in the middle]] [[full duplex]].
[[File:Half&full.jpg‎|center|thumb|nome]]
 
Riga 20:
Ci sono varie tipologie d’attacchi [[man in the middle]],esse cambiano in base al contesto dove si applicano,e sono le seguenti.
 
*Primo caso, attacco su rete locale :
#ARP Poisoning
#Dns Spoofing
Riga 26:
#Traffic desync
 
*Secondo caso, attacco da rete locale su remoto attraverso un gateway :
#ARP Poisoning
#Dns Spoofing
Riga 52:
 
Il Dns spoofing è un attacco informatico, la vittima fa richiesta di risoluzione di un host, quest'ultima viene catturata dall'attacante che può decidere di corromperla e di mandare alla vittima una risposta diversa da quella che sarebbe stata fornita dal DNS.
Tale attacco può esser effettuato in varie modalità :
*Simulazione delle risposte del Dns
*Cache poisoning
Riga 58:
 
I dati trasmessi o inviati viaggiano sulla rete sotto forma di pacchetti ed utilizzando il protocollo UDP,la sicurezza è affidata al protocollo Dns il quale ha dei punti deboli.
L' attacco sfrutta alcuni campi dei pacchetti per i propri fini, essi sono :
*l' ID (evidenziato in grigio) ,in quanto ogni volta che si effettua una query viene generato un ' id e le risposte alla query devono avere il medesimo id altrimenti il client non accetterà le risposte,per cui questo dato è indispensabile ;
*Il campo question (sempre in grigio) poichèpoiché ogni domanda ha un type ed ogni risposta ha un type
 
Un pacchetto Dns lo possiamo immaginare così fatto :
[[File:Pachets_dnsPachets dns.JPG|center|thumb|]]
 
L'obbiettivo dello spoofing è il campo question, in quanto ogni domanda e ogni risposta hanno un tipo specifico,quello che interessa ai fini dell’attacco è l’ “A type” ovvero colui che contiene la corrispondenza tra indirizzo ip e nome del sito.
Riga 71:
Questa tipologia d'attacco deve considerare 3 variabili (id, risposta, porta), di fatti consiste nell'intercettare le richieste di un client, memorizzare l'id contenuto all' interno del pacchetto, e successivamente creare una falsa risposta con il giusto id copiato precedentemente, infine bisogna rispedire il tutto al client che ha effettuato la query.
 
AffinchèAffinché l'attacco riesca è necessario rispondere al client prima del vero server ,in modo da far credere al client che siamo noi il server anche se in realtà non è così(questa clausola viene detta "race condition").
 
Infine bisogna anche intercettare le eventuali reverse query(quelle contrarie da indirizzo ip a nome simbolico).
 
A questo punto il client invierà tutti i pacchetti destinati a quel nome simbolico all'attaccante, che deve accettare la connessione e crearne un'altra verso il vero server,a questo punto ha due opzioni possibili :
 
#può svolgere mansione di proxy per il server e rispondere in modo corretto a tutti i servizi che il client s'aspetta di trovare sul server.
#non contattare il server reale e mostrare servizi "falsi" al client .
 
Nel caso in cui siamo impossibilitati di intercettare query verso il Dns abbiamo sempre una seconda opzione,ovvero operare un attacco di tipo blind.
Riga 94:
Il problema, che si pone di fronte ad un attaccante, è come illudere il DNS SERVER in modo che accetti i record avvelenati. Queste sono alcune delle possibilità.
 
*il Dns server si avvelena da solo :
 
Un host fa una richiesta di un indirizzo(esempio www.prova.org) al suo server Dns, se tale indirizzo non è in memoria,parte una query al dns del dominio corrispondente,ora supponiamo che questo server sia stato avvelento quindi risponderà al server Dns con una mappatura sbagliata e di conseguenza si avvelenerà anche lui la cache (avvelenamento temporaneo poichèpoiché i dati nella cache hanno un time to live).
[[File:Autopoison.JPG|center|thumb|]]
 
Riga 118:
===Manomissione fisica del Dns===
 
Questa tipologia d’attacco dal punto di vista esplicativo è molto semplice ,avendo accesso a un name server autoritativo non facciamo nient’altro che alterare la tabella,modificando manualmente gli indirizzi ip che ci interessano.
 
===Contromisure===
Riga 130:
===Esempi dns spoofing===
 
Faremo un esempio di spoofing utilizzando la tecnica di simulazione del Dns su una rete locale con ettercap , utilizzando come configurazione quella d’esempio contenuta nel file etter.dns (per vedere tale configurazione basta aprire il file etter.dns) del programma stesso;infine parleremo del caso generico.Eseguiremo il nostro esempio su un personal computer avente linux come sistema operativo ed il tool ettercap installato.
 
Poniamo che :
 
host1 = pippo con ip 192.168.1.9 sia l’attaccante
Riga 142:
pippo: ettercap -T -M arp:remote /192.168.1.9/ /192.168.1.1/ -P dns_spoof <ref name="paper mint">[http://www.blackhats.it/en/papers/Paper-mitm.pdf blackhats.it]</ref>
 
Con questo comando <ref name="paper mint" /> digitato da console , pippo(computer host 1) 192.168.1.9 si è finto gateway (192.168.1.1) e ha reindirizzato le richieste di topolino (host 2) 192.168.1.5 indirizzate a www.microsoft.com direttamente su www.linux.com, ovviamente per far funzionare il tutto dobbiamo configurare il reindirizzamento nel seguente modo(cosa già fatta come esempio all’interno del file) :
 
pippo: nano /usr/share/ettercap/etter.dns
Riga 149:
 
in questo modo abbiamo reindirizzato tutte le connessioni di microsoft su linux.
Nel caso in cui vorremmo reindirizzare un generico sito su un altro indirizzo basta aprire il file etter.dns con nano (nano /usr/share/ettercap/etter.dns) o con qualsiasi altro editor di testo,ed analizzarne la prima parte del file che si presenta nel seguente modo :
 
[[File:Structs.JPG|center|thumb|none]]
 
in questa prima parte del file spiega come devono essere strutturate le query, per cui se volessimo reindirizzare più siti basterà aggiungere al file più strutture identiche a quelle dell’esempio, dove al posto di microsoft inseriamo il sito che si vuole reindirizzare e al posto dell’indirizzo ip di linux utilizamo l’indirizzo ip di dove si vuol reindirizzare la query .Va ricordato che bisogna anche cambiare la reverse query (PTR)
 
===Tools applicativi===
 
Esistono vari tools applicativi per svolgere questa tipologia d’attacchi tra i più conosciuti vi sono :
 
#Ettercap
Riga 165:
Ettercap:
 
E’ uno sniffer evoluto, sviluppato da 2 programmatori italiani che permette di sniffare tutto il traffico presente in rete anche in presenza di swich. Inoltre offre una serie di funzioni che lo rendono un software molto valido.Tra queste funzioni abbiamo :
 
*SSH 1 e HTTPS password sniffing;
Riga 175:
Dsniff:
 
E’ un pacchetto di tool un po’ obsoleto ma tutt’ora interessante per le varie possibilità offerte dedite allo sniffing, nel pacchetto sono inclusi : dsniff (uno sniffer di password), arpspoof (un tool per ARP poisoning), dnsspoof (un tool per il DNS spoofing), msgsnarf (tool che cattura e visualizza i messaggi tra clients IM), mailsnarf (tool dedito a violare la privacy altrui, infatti cattura e visualizza i messaggi email), tcpkill (tool che termina le connessioni tcp nella rete locale), tcpnice (applicazione che obbliga le altre connessioni a ridurre il consumo di banda delle proprie connessioni) ed infine webspy (software davvero interessante che cattura e visualizza in real time la navigazione web della vittima).
 
Zodiac:
 
Zodiac è un programma molto utile che analizza il protocollo Dns.
E’ davvero utile nell’osservare il traffico su rete,infatti guarda come sono assemblati e “disassemblare” i pacchetti;il software offre delle tool per chi non è esperto del settore per vedere come funziona il protocollo Dns e come poter fare dello spoofing senza dover scrivere delle routine di modifica per i pacchetti o filtri per pacchetti,questo è il suo vero punto di forza.Le sue funzionalità sono le seguenti :
 
*Sniffare qualsiasi tipo di dispositivo configurato (Ethernet, PPP, ecc..)
*Catturare e decodificare quasi tutti I tipi di pacchetti DNS , inclusi i pacchetti decompressi
*Interfaccia testuale con comandi interattivi e finestre multiple
*la struttura a threaded permette più flessibilità quando si aggiungono nuove funzionalità
Riga 189:
*il sistema che filtra I i pacchetti Dns, permette l’installazione di pseudo filtri Dns selezionabili da una vasta gamma di primitive di costruzione di pacchetti DNS
*visuallizzare la versione del DNS name server utilizzando richieste di tipo BIND
*“spufferare” il DNS , rispondendo alle query DNS su rete LAN prima del Name Server remoto
*“spufferare”il“spufferare” il Dns con jizz,sfruttando le debolezze in vecchie versioni di BIND.
*DNS ID spoofing, sfruttando le debolezze del protocollo DNS.
 
Riga 218:
{{Portale|crittografia|informatica|sicurezza informatica}}
 
[[Categoria: Tecniche di attacco informatico]]
Estratto da "https://it.wikipedia.org/wiki/DNS_spoofing"