DNS Cache Poisoning

Un attacco di tipo DNS Cache-poisoning (Avvelenamento della cache DNS) è considerato particolarmente pericoloso poichè non richiedere risorse di banda o potenza di calcolo elevata, nè tantomeno tecniche sofisticate per essere messo in atto.

Con l’avvelenamento della cache, un attaccante prova ad inserire un falso record per un dominio internet nel server DNS. Se il server accetta falsi record, la cache è avvelenata e le richieste per tale dominio verranno risolte utilizzando l’ip address di un server controllato dall’attaccante.

Per tanto, qualsiasi richiesta di tipo SMTP – HTTP etc. che coinvolga il dominio “avvelenato” verranno instradate al server controllato dall’attaccante.

Guardate il video qua in basso per capirne il funzionamento:

Questo tipo di attacco è spesso catalogato come “pharming” attack, e può creare svariati problemi. Primo, gli utenti pensano di essere su un sito a loro familiare, in realtà non lo sono. Al contrario di un attacco phishing dove un browser può ad esempio segnalare un’URL sospetta, qua l’URL è legittima. Ricordate, il browser risolve l’indirizzo del dominio automaticamente, non c’è alcun tipo di intervento da parte dell’utente e, siccome non accade niente di inusuale, il tutto avviene senza il benchè minimo sospetto.

Dal momento in cui l’attaccante controlla il nome del dominio, ogni richiesta del dominio verrà reindirizzata ad uno suo server. Questo implica che l’attaccante controllerà l’indirizzamento per tutti i sottodomini di quel dominio: www.hack.com, mail.hack.com, etc. Questo è estremamente straordinario; ogni richiesta per ogni sottodominio verrà reindirizzata a scelta dell’attaccante. E da qui si apre un mondo di opportunità per l’attaccante…

Il problema si aggrava o comunque raggiunge livelli maggiori se il dominio intaccato è molto diffuso e visitato sulla rete. Questo coinvolgerà nell’attacco un bacino di utenti molto maggiore.

Torna all'inizio