DNS spoofing: differenze tra le versioni
Contenuto cancellato Contenuto aggiunto
Nessun oggetto della modifica |
Nessun oggetto della modifica |
||
Riga 40:
===Simulazione delle risposte del DNS (in una rete locale o da locale a remoto)===
Questa tipologia d'attacco deve considerare l’ID della query. L’attaccante intercetta la richiesta di un client, memorizza l'ID contenuto all’interno del messaggio, e crea una falsa risposta con il giusto ID copiato precedentemente. Alla fine rispedisce il tutto al client che ha fatto la query. Affinché l'attacco riesca è necessario rispondere con l’ID atteso dal client prima del vero server. In questo modo il client crede che l’host attaccante sia il server. Questo perchè il client accetta la prima risposta che gli viene inviata con id atteso (race condition). Infine è necessario anche intercettare le eventuali reverse query (quelle che traducono indirizzo ip a nome simbolico), perchè se parte una nuova richiesta e non la si intercetta la vittima si accorge che al nome simbolico non corrisponde l'IP ricevuto dal falso DNS. A questo punto il client invierà tutti i pacchetti destinati a quel nome simbolico all'attaccante, il quale può:
#svolgere la funzione di proxy e creare una connessione con il client e una con il server e rimandare ogni richiesta di servizio proveniente dal client al server e ogni risposta dal server al client
#non contattare il server reale e simulare i servizi offerti dal server.
Nel caso in cui non si possa intercettare una DNS query si può provare un attacco di tipo blind, ovvero un attacco alla cieca.
La simulazione delle risposte del DNS è facilmente individuabile. Infatti, utilizzando un server DNS diverso si può notare la differenza delle risposte. Inoltre l'IP dell'attaccante è presente nell’intestazione dei pacchetti IP che contengono i pacchetti UDP con le risposte DNS contraffatte.
| |||