DNS Cache Poisoning

Un attacco di tipo DNS Cache-poisoning (Avvelenamento della cache DNS) è considerato particolarmente pericoloso poichè non richiedere risorse di banda o potenza di calcolo elevata, nè tantomeno tecniche sofisticate per essere messo in atto.

Con l’avvelenamento della cache, un attaccante prova ad inserire un falso record per un dominio internet nel server DNS. Se il server accetta falsi record, la cache è avvelenata e le richieste per tale dominio verranno risolte utilizzando l’ip address di un server controllato dall’attaccante.

Per tanto, qualsiasi richiesta di tipo SMTP – HTTP etc. che coinvolga il dominio “avvelenato” verranno instradate al server controllato dall’attaccante.

Guardate il video qua in basso per capirne il funzionamento:

Questo tipo di attacco è spesso catalogato come “pharming” attack, e può creare svariati problemi. Primo, gli utenti pensano di essere su un sito a loro familiare, in realtà non lo sono. Al contrario di un attacco phishing dove un browser può ad esempio segnalare un’URL sospetta, qua l’URL è legittima. Ricordate, il browser risolve l’indirizzo del dominio automaticamente, non c’è alcun tipo di intervento da parte dell’utente e, siccome non accade niente di inusuale, il tutto avviene senza il benchè minimo sospetto.

Dal momento in cui l’attaccante controlla il nome del dominio, ogni richiesta del dominio verrà reindirizzata ad uno suo server. Questo implica che l’attaccante controllerà l’indirizzamento per tutti i sottodomini di quel dominio: www.hack.com, mail.hack.com, etc. Questo è estremamente straordinario; ogni richiesta per ogni sottodominio verrà reindirizzata a scelta dell’attaccante. E da qui si apre un mondo di opportunità per l’attaccante…

Il problema si aggrava o comunque raggiunge livelli maggiori se il dominio intaccato è molto diffuso e visitato sulla rete. Questo coinvolgerà nell’attacco un bacino di utenti molto maggiore.

  • molto interessante amico , tanto lo sapevo gia .

  • :3 contento tu

  • Birddog

    Ciao la tecnica che hai spiegato nell’articolo è molto interessante
    anche io come te sono appassionato di informatica e di programmazione conosco java, vb6, i linguaggi .net, php e javascript mi piacerebbe molto lavorare in questo settore e seguo molto tutto quello che riguarda il mondo dell’hacking (so anche come entrare in un profilo facebook senza conoscere la password… e sicuramente lo sai fare anche tu…)
    Questo tipo di attacco lo conoscevo ne ho sentito parlare molto però non ho mai capito come sia possibile realizzare una cosa del genere in pratica.. per esempio l’ip del pc che invia le false risposte dns deve essere uguale all’ip del server che ha autorità per il nome di dominio che si vuole attaccare ? e se si come si cambia il proprio ip come si realizza lo spoofing ? si può fare se si è su un pc con un ip privato in una rete locale che si collega ad internet tramite nat ? Mi piacerebbe molto avere qualche chiarimento su argomenti del genere da una persona appassionata e competente in materia …. 🙂
    Se hai tempo rispondi a questo messaggio.. per me sarebbe un onore conoscere e confrontarsi con persone come te

  • Ciao,

    Chiaramente devono esserci particolari condizioni perchè l’attacco abbia successo. L’attaccante si presuppone abbia già delle informazioni sul principale server dns. In modo da costringere si il local server dns a richiedere un lookup per il dominio richiesto e garantire al contempo il successo della query di risposta malevola, assumendo agli occhi del local server dns le sembianze del main server dns.

    Questi controlli possono avvenire in svariati modi, non la considero per questo motivo una tecnica facile da mettere in atto, proprio per le difficoltà iniziali in fase di information gathering soprattutto.

  • Francesco

    Tecnica concettualmente (e non solo) simile a quella utilizzata in reti locali (ARP Poisoning) e che consente l’attacco MITM (anche se l’articolo non lo menziona, queste tecniche servono per il MITM, dimodochè la vittima non percepisca alcunchè e per lungo tempo). Sarebbe opportuno, a mio parere, elencare anche una o più soluzioni subito dopo aver descritto (magari con molta meno superficialità e con più dettagli tecnici – dire “questo è un problema” è banale e non denota certo profonda conoscenza tecnica) il problema e i relativi rischi. Ad maiora.

Torna all'inizio