DNS spoofing: differenze tra le versioni

Gli attacchi di tipo ''[[man in the middle]]'' consistono nel deviare i pacchetti (in una comunicazione tra due host) verso un attaccante, che fingeràfinge di essere il mittente o destinatario vero.

La struttura è la seguente: una comunicazione a due dove l'attaccante s’interpone tra i due posthost vittime A e B.

L'attaccante riceveràinvia pacchetti contenenti richieste da ambo due le parti. Il suo ruolo è quello d'inviarecomunque i pacchetti che riceve verso laalla giusta destinazione. In questo modo i due host attaccati non si accorgerannoaccorgono che la comunicazione è stata alterata. In base alle abilità dell'attaccante di alterare la connessione l'attacco prende il nome di ''[[man in the middle]]'' half duplex o ''[[man in the middle]]'' [[full duplex]].

Un possibileLo scopo di queste tipologiequesti d'attacchi può essere quello di rubare delle informazioni personali oppure monitorare e alterare la comunicazione tra due utenti.

Il protocollo DNS su Internet ha il compito di trasformare l'indirizzo simbolico (ad esempio www.prova.org) in indirizzo numerico o IP (ad esempio 202.159.XXX.XXX). I server DNS sono organizzati secondo una struttura ad albero gerarchica, in cui ogni nodo corrisponde ad un dominio. I server DNS scambiamoscambiano record DNS mediante tre tipi di messaggi: query, responceresponse e update. Supponiamo ad esempio di voler contattare tramite un browser il sito www.prova.org. Quest’operazione consiste in una serie di DNS query. Il server DNS dopo aver trovato l'indirizzo ip tramite varie chiamate ad altri server DNS lo comunica alla macchina richiedente con un DNS responce che deve contenere l’IP giusto (di fatto, se al posto del sito scriviamo l’IP dell’esempio 202.159.XXX.XXX il sito sarebbe lo stesso raggiungibile).

Il DNS spoofing è un attacco informatico che si svolge nel modo seguente: la vittima fa una DNS query, che viene catturata dall'attaccante, ilche qualela può decidere di corromperlacorrompe e di mandaremanda alla vittima una risposta diversa da quella che sarebbe stata fornita dal DNS. Tale attacco può esser effettuato in varie modalità:

===Simulazione delle risposte del DNS (in una rete locale o da locale a remoto)===

Questa tipologia d'attacco deve considerare l’ID della query. L’attaccante intercetta la richiesta di un client, memorizza l'ID contenuto all’interno del messaggio, e crea una falsa risposta con il giusto ID copiato precedentemente. Alla fine rispedisce il tutto al client che ha fatto la query. Affinché l'attacco riesca è necessario rispondere con l’ID atteso aldal client prima del vero server. In questo modo il client crederàcrede che l’host attaccante sia il server. Questo perchè il client accetta la prima risposta che gli viene inviata con id atteso. Infine è necessario anche intercettare le eventuali reverse query (quelle che traducono indirizzo ip a nome simbolico). A questo punto il client invierà tutti i pacchetti destinati a quel nome simbolico all'attaccante, il quale può:

La simulazione delle risposte del DNS è facilmente intercettabileindividuabile. Infatti, utilizzando un server DNS diverso si può notare la differenza delle risposte. Inoltre l'IP dell'attaccante è presente nell’intestazione dei pacchetti IP che contengono i pacchetti UDP con le risposte DNS contraffatte.

Questa tipologia d'attacco consiste nel creare record DNS fasulli ed inserirli nella cache del name server. Un name server non può contenere tutte le corrispondenze ip/nome simbolico, pertanto utilizza una cache con parti di tali corrispondenze con TTL (Time to live, ovvero un periodo di vita dei dati nella cache). La tecnica del cache poisoning si basa sull’inserimento in cache di record falsi con un TTL molto grande. Il problema, che si pone di fronte ad un attaccante, è come illudere il DNS Server in modo che accetti i record avvelenati. Ci sono vari modi per eseguire un cache poisoning e sono i seguenti :

Un host fa una richiesta di un nome di dominio (ad esempio www.prova.org) al suo server DNS, se tale indirizzo non è in memoria, parte una query al DNS del dominio corrispondente. Se questo server è stato avvelenato risponderà al server DNS con una mappatura sbagliata e di conseguenza si avvelenerà anche il primo server DNS (avvelenamento temporaneo poiché i dati nella cache hanno un time to live).

Il DNS server inserisce solo i record che provengono da risposte a query con ID atteso. I vecchi DNS Server usavano un unico ID che veniva incrementato per le richieste successive. L’attaccante, in questo caso doveva solo venire a conoscenza di questo ID per essere abbastanza sicuro che i suoi record avvelenati verrannovenissero inseriti. Un modo di procedere per l’attaccante è il seguente:

*Crea una rete con un DNS Server “fasullo” di cui ha pieno controllo, (denominiamolo ad esempio attaccante.net)

Se l’attacco riesce, a questo punto qualsiasi utente che usufruiràusufruisce di quel determinato server DNS ed eseguiràesegue query per siti attendibili riceveràriceve come risposte contraffattecorrispondenze ip/nome simbolico sbagliate dovute all’avvelenamento della cache. Questa tipologia d’attacco non è facilmente intercettabile. Si può essere sotto attacco per un lungo periodo senza che ci si accorga facilmente d'esserlo, tuttavia è quasi impossibile trovare name server vulnerabili a quest’attacco ormai considerato obsoleto.

*Una seconda opzione è il DNSSEC ovvero Domain Name System Security Extensions il quale è l’ultimo standard d’internet implementato per garantire sicurezza ai Domain Name, è un protocollo che controlla e valida le richiesta mediante una serie di controlli, in questo modo si può prevenire l’intercettazione del traffico webrichieste.

*Per quanto riguarda il DNS Spoofing tramite ARP cache poisoning è possibile utilizzare una soluzione open source chiamata [http://arpon.sourceforge.net ArpON] "Arp handler inspectiON" che rileva e blocca tutti gli attacchi Man''man Inin Thethe Middlemiddle'' tramite Arp poisoning e spoofing attraverso due approci: Static ARP Inspection (SARPI) e Dynamic ARP Inspection (DARPI) su LAN switched/hubbed con o senza DHCP.

*Altra soluzione è utilizzare un server che genera il campo id dei pacchetti in maniera casuale e allo stesso modo sceglie un numero di porta di comunicazione; queste contromisure aumentano in maniera esponenziale la sicurezza del DNS.

*In merito al poison cache ci limitiamo a affermare che, è ormai impossibile trovare server vulnerabili a questo tipo d’attacco considerato obsoleto.

topolino vuole collegarsi al sito www.microsoft.com (utilizzeremo la configurazione di default d’ettercap) e pippo vuole eseguire una simulazione delle risposte del DNS su topolino,; per far ciò esegue il seguente comando,:

Con questo comando <ref name="paper mint" /> digitato da console, pippo (computer host 1) 192.168.1.9 si è finto gateway (192.168.1.1) e ha reindirizzato le richieste di topolino (host 2) 192.168.1.5 indirizzate a www.microsoft.com direttamente su www.linux.com,; ovviamente per far funzionare il tutto deve configurare il reindirizzamento nel seguente modo (cosa già fatta come esempio all’interno del file) pippo: nano /usr/share/ettercap/etter.dns

In questo modo vengono reindirizzate tutte le connessioni di microsoft su linux. Nel caso in cui si vuole reindirizzare un generico sito su un altro indirizzo basta aprire il file etter.dns con nano o con qualsiasi altro editor di testo, ed analizzare la prima parte del file che si presenta nel seguente modo:

Esistono vari tools applicativi per svolgere questa tipologia d’attacchi. traTra i più conosciuti vi sono:

Ettercap:

E’È uno sniffer evoluto, sviluppato da due programmatori italiani, che permette di sniffare tutto il traffico presente in rete anche in presenza di swich[[switch]]. Inoltre offre una serie di funzioni che lo rendono un software molto valido.Tra queste funzioni abbiamo:

Dsniff:

E’ un pacchetto di tool un po’ obsoleto ma tuttora interessante per le varie possibilità offerte per lo sniffing,. nelNel pacchetto sono inclusi: dsniff (uno sniffer di password), arpspoof (un tool per ARP poisoning), dnsspoof (un tool per il DNS spoofing), msgsnarf (tool che cattura e visualizza i messaggi tra clients IM), mailsnarf (tool dedito a violare la privacy altrui, infatti cattura e visualizza i messaggi email), tcpkill (tool che termina le connessioni tcp nella rete locale), tcpnice (applicazione che obbliga le altre connessioni a ridurre il consumo di banda, per favorire le proprie connessioni) ed infine webspy (software davvero interessante che cattura e visualizza in real time la navigazione web della vittima).

Zodiac:

Zodiac è un programma che analizza il protocollo DNS. Permette di osservare il traffico su rete, infattianalizzando analizzail comemodo in cui sono assemblati e disassemblati i pacchetti. Il software offre, degli strumenti pera chi non è esperto del settore strumenti per:

Le sue funzionalitàcaratteristiche sono le seguenti:

*SniffarePossibilità di sniffare qualsiasi tipo di dispositivo configurato (Ethernet, PPP, ecc..)

*CatturarePossibilità di catturare e decodificare quasi tutti Ii tipi di pacchetti DNS, inclusi i pacchetti decompressi

*laLa struttura a threaded permette più flessibilità quando si aggiungono nuove funzionalità

*ilIl codice è pulito, commentato e testato benissimo, ciò ne semplifica l’estensione

*il sistema che filtra Ii pacchetti DNS, permette l’installazione di pseudo filtri DNS selezionabili da una vasta gamma di primitive di costruzione di pacchetti DNS

*Possibilità di visualizzare la versione del DNS name server utilizzando richieste di tipo BIND

*DNS spoofing, rispondendo alle query DNS su rete LAN prima del Name Server remoto (race condition)

*DNS soofing con jizz, sfruttando le debolezze in vecchie versioni di BIND.