Wikipedia

DNS spoofing: differenze tra le versioni

Naviga nella cronologia in modo interattivo
← Differenza precedenteDifferenza successiva →
annullaPracchia-78 (discussione | contributi)
Utenti autoverificati
258 283 modifiche
Contenuto cancellato Contenuto aggiunto
VisualeWikitesto
Nessun oggetto della modifica
clean up, typos fixed: using AWB
Riga 12:
 
Lo scopo di questi attacchi può essere quello di rubare delle informazioni personali oppure monitorare e alterare la comunicazione tra due utenti.
 
 
==DNS-Query==
Riga 40 ⟶ 39:
===Simulazione delle risposte del DNS (in una rete locale o da locale a remoto)===
 
Questa tipologia d'attacco deve considerare l’ID della query. L’attaccante intercetta la richiesta di un client, memorizza l'ID contenuto all’interno del messaggio, e crea una falsa risposta con il giusto ID copiato precedentemente. Alla fine rispedisce il tutto al client che ha fatto la query. Affinché l'attacco riesca è necessario rispondere con l’ID atteso dal client prima del vero server. In questo modo il client crede che l’host attaccante sia il server. Questo perchèperché il client accetta la prima risposta che gli viene inviata con id atteso (race condition). Infine è necessario anche intercettare le eventuali reverse query (quelle che traducono indirizzo ip a nome simbolico), perchèperché se parte una nuova richiesta e non la s'intercetta, la vittima può accorgersi che al nome simbolico non corrisponde l'IP ricevuto dal falso DNS.
 
A questo punto il client invierà tutti i pacchetti destinati a quel nome simbolico all'attaccante, il quale può:
Riga 51 ⟶ 50:
===Cache poisoning (in remoto)===
 
Questa tipologia d'attacco consiste nel creare record DNS fasulli ed inserirli nella cache del name server. Un name server non può contenere tutte le corrispondenze ip/nome simbolico, pertanto utilizza una cache con parti di tali corrispondenze con TTL (Time to live, ovvero un periodo di vita dei dati nella cache). La tecnica del cache poisoning si basa sull’inserimento in cache di record falsi con un TTL molto grande. Ci sono vari modi per eseguire un cache poisoning e sono i seguenti :
 
 
*Il DNS server si “avvelena” da solo
Riga 71 ⟶ 69:
 
Se l’attacco riesce, a questo punto qualsiasi utente che usufruisce di quel determinato server DNS ed esegue query per siti attendibili riceve come risposte corrispondenze ip/nome simbolico sbagliate dovute all’avvelenamento della cache. Questa tipologia d’attacco non è facilmente intercettabile. Si può essere sotto attacco per un lungo periodo senza che ci si accorga facilmente d'esserlo, tuttavia è quasi impossibile trovare name server vulnerabili a quest’attacco ormai considerato obsoleto.
 
 
===Manomissione fisica del DNS===
Riga 94 ⟶ 91:
 
host2 = topolino con ip 192.168.1.5 la vittima
 
 
topolino vuole collegarsi al sito www.microsoft.com (utilizzeremo la configurazione di default d’ettercap) e pippo vuole eseguire una simulazione delle risposte del DNS su topolino; per far ciò esegue il seguente comando:
Estratto da "https://it.wikipedia.org/wiki/DNS_spoofing"