DNS spoofing: differenze tra le versioni
Contenuto cancellato Contenuto aggiunto
Nessun oggetto della modifica |
Nessun oggetto della modifica |
||
Riga 1:
{{W|informatica|giugno 2010}}
Il '''
==Introduzione==
Riga 22:
*attacco su rete locale:
#ARP Poisoning
#
#STP mangling
#Traffic desync
Riga 28:
*attacco da rete locale su remoto attraverso un gateway:
#ARP Poisoning
#
#Traffic desync
#DHCP spoofing
Riga 36:
*attacco da remoto:
#
#Traffic Tunneling
#Route mangling
Riga 42:
Per comprendere queste tipologie d’attacchi è necessario avere un idea di come funzioni lo scambio di record DNS tra server DNS.
==
Il protocollo DNS ha il compito di trasformare l'indirizzo simbolico (ad esempio www.prova.org) in indirizzo numerico o IP (ad esempio 202.159.XXX.XXX). I server DNS sono organizzati secondo una struttura ad albero gerarchica, in cui ogni nodo corrisponde ad un dominio. I server DNS scambiamo record DNS mediante tre tipi di messaggi: query, responce e update.
Supponiamo ad esempio di voler contattare tramite un browser il sito www.prova.org. Quest’operazione consiste in una serie di DNS query.
Il server DNS dopo aver trovato l'indirizzo ip tramite varie chiamate ad altri server
[[File:Dnsgerarchy.JPG|center|thumb|]]
La struttura reale di una query è molto più complessa ed articolata ma semplifichiamo il tutto ed utilizziamo solo ciò che serve ai fini dell’attacco.
==
Il DNS spoofing è un attacco informatico che si svolge nel modo seguente: la vittima fa una DNS query, che viene catturata dall'attaccante, il quale può decidere di corromperla e di mandare alla vittima una risposta diversa da quella che sarebbe stata fornita dal DNS. Tale attacco può esser effettuato in varie modalità:
*Simulazione delle risposte del
*Cache poisoning
*Manomissione fisica del
I messaggi DNS viaggiano sulla rete utilizzando il protocollo UDP.
Riga 67:
L'obbiettivo dello spoofing è modificare la corrispondenza tra indirizzo ip e nome del sito contenute nelle risposte.
===Simulazione delle risposte del
Questa tipologia d'attacco deve considerare l’ID della query. L’attaccante intercetta la richiesta di un client, memorizza l'ID contenuto all’interno del messaggio, e crea una falsa risposta con il giusto ID copiato precedentemente. Alla fine rispedisce il tutto al client che ha fatto la query.
Riga 91:
[[File:Autopoison.JPG|center|thumb|]]
*
Il DNS server inserisce solo i record che provengono da risposte a query con ID atteso. I vecchi DNS Server usavano un unico ID che veniva incrementato per le richieste successive. L’attaccante, in questo caso doveva solo venire a conoscenza di questo ID per essere abbastanza sicuro che i suoi record avvelenati verranno inseriti. Un modo di procedere per l’attaccante è il seguente:
Riga 105:
===Manomissione fisica del
Questa tipologia d’attacco è molto semplice, ma solo se si ha accesso a un name server e possibilità di modificare direttamente i record cambiando manualmente gli indirizzi ip di interesse per l’attaccante.
Riga 117:
*In merito al poison cache ci limitiamo a affermare che è ormai impossibile trovare server vulnerabili a questo tipo d’attacco considerato obsoleto.
===
L’esempio utilizza la tecnica di simulazione del DNS su una rete locale con il programma ettercap, usando come configurazione quella d’esempio contenuta nel file etter.dns (per vedere tale configurazione basta aprire il file etter.dns del programma stesso). Per eseguire l’esempio è necessario un personal computer con sistema operativo linux e ettercap installato.
Riga 177:
*la struttura a threaded permette più flessibilità quando si aggiungono nuove funzionalità
*il codice è pulito commentato e testato benissimo, ciò ne semplifica l’estensione
*il sistema che filtra I pacchetti
*visualizzare la versione del DNS name server utilizzando richieste di tipo BIND
*“spufferare” il DNS, rispondendo alle query DNS su rete LAN prima del Name Server remoto
*“spufferare” il
*DNS ID spoofing, sfruttando le debolezze del protocollo DNS.
| |||