spoofing DNS

DNS spoofing este un atac cibernetic , aparținând unei categorii mai largi numit om în mijloc .

Introducere

Omul în schema de atac de mijloc.

Man-in-the-middle atacuri constau în pachete de deviere (într - o comunicare între două gazde) către un atacator, care pretinde a fi expeditorul adevărat sau destinatar. Structura este după cum urmează: a două căi de comunicare în care intervine atacator între cele două gazde victima A și B ^[1] .

Atacatorul încă trimite pachetele pe care le primește la destinația corectă. În acest fel, cele două gazde atacat nu observă că comunicarea a fost modificat. Bazat pe capacitatea atacatorului de a modifica conexiunea, atacul este numit om în jumătate duplex de mijloc (într - o comunicare cu două sensuri este monitorizat de un singur sens al conexiunii) sau om în mijloc full duplex ^[2] .

Scopul acestor atacuri poate fi pentru a fura informații personale sau să monitorizeze și să modifice comunicarea între doi utilizatori.

DNS-interogare

DNS exemplu de lucru.

Sistemul DNS de pe Internet , are sarcina de a transforma adresa simbolică (de exemplu www.prova.org) într - o numeric sau adresa IP (de exemplu , 202.159.XXX.XXX) ^[3] . DNS Serverele sunt organizate conform unei structuri de arbore ierarhic ^[4] , în care fiecare nod corespunde unui domeniu. Serverele DNS schimb de înregistrări DNS folosind trei tipuri de mesaje: interogare, de răspuns și de actualizare. De exemplu, să presupunem că doriți să contactați site-ul web www.prova.org prin intermediul unui browser. Această operațiune constă dintr-o serie de interogări DNS. Serverul DNS, după ce a găsit adresa IP prin diferite apeluri către alte servere DNS, acesta comunică la aparat care solicită un răspuns DNS care trebuie să conțină IP corectă.

Structura reală a unei interogări este mult mai complex și articulat, dar acest model simplificat este suficient pentru a introduce principalele caracteristici ale atacului.

Spoofing DNS

lucrări DNS spoofing după cum urmează: victima face o interogare DNS, atacatorul prinde, și trimite victima unui răspuns fals, alta decât cea care ar fi fost furnizate de DNS.

Simplificată de exemplu, interogare DNS.

Mesajele DNS de călătorie prin rețea folosind UDP protocolul. Securitatea este încredințată protocolul DNS, care are puncte slabe. Atacul exploateaza anumite domenii ale interogări DNS ^[5] :

ID-ul (evidențiate cu gri în figură) este un câmp de 16 biți care identifică tranzacția. Acesta este generat de gazda care provine o interogare DNS; răspunsurile trebuie să aibă același ID, în caz contrar, gazda nu le va accepta ca valabile.
Câmpul Întrebare (întotdeauna de culoare gri) conține numele de domeniu solicitat și tipul de înregistrare care urmează să fie trimis ca un răspuns.

Acest atac poate fi realizată în diverse moduri:

Simularea răspunsurilor DNS
cache poisoning
Fizică interferarea cu DNS

Scopul spoofing este de a schimba corespondența dintre adresa IP și numele site-ului conținut în răspunsurile.

Simularea răspunsurilor DNS

Acest tip de atac trebuie să ia în considerare ID-ul de interogare. Interceptărilor atacator cererea unui client, stochează ID-ul de conținut în cadrul mesajului, și creează un răspuns fals cu ID-ul corect copiat mai devreme. În cele din urmă o trimite înapoi la client care a făcut interogarea. Pentru ca atacul să aibă succes, este necesar să se răspundă cu ID-ul de așteptat de client înainte de serverul real. În acest fel clientul consideră că gazda ataca este serverul. Acest lucru se datorează faptului că clientul acceptă primul răspuns care este trimis să - l cu id - ul ( de așteptat condiție cursa ) ^[3] . În cele din urmă, este de asemenea necesar pentru a intercepta orice întrebare inversă (cele care traduc o adresă IP într-un nume simbolic), pentru că în cazul în care o nouă solicitare este trimisă și nu este interceptat, victima poate da seama că numele simbolic nu corespunde IP a primit de la fals. DNS ^[1] .

În acest moment, clientul va trimite toate pachetele destinate pentru acel nume simbolic pentru atacator, care poate:

acționează ca un proxy și de a crea o conexiune cu clientul și unul cu serverul și trimite înapoi la fiecare cerere de serviciu de la client la server și fiecare răspuns de la server la client
nu contactează serverul real și simula serviciile oferite de server.

În cazul în care o interogare DNS nu pot fi interceptate, un atac orb poate fi judecat, adică un atac orb.

Simularea răspunsurilor DNS este ușor de identificat. De fapt, folosind un server DNS diferit puteți vedea diferența în răspunsurile. În plus, IP atacatorului este prezent în antetul pachetelor IP care conțin pachetele UDP cu răspunsurile DNS falsificata.

Cache poisoning ( la distanță)

Același subiect în detaliu: DNS cache poisoning .

Acest tip de atac constă în crearea înregistrărilor DNS false și punerea lor în cache a serverului de nume. Un server de nume nu poate deține toate / meciuri nume simbolic IP, asa ca foloseste o memorie cache cu părți din aceste meciuri cu TTL , care este o durata de viata a datelor din memoria cache. Tehnica cache poisoning (în limba italiană, cache poisoning), se bazează pe înregistrările cache false cu un TTL foarte mare.

În cazul în care atacul este de succes, în acest moment, orice utilizator care utilizează acel server DNS special și interogări pentru site-urile de încredere primește ca răspunsurile greșite / IP se potrivește cu numele simbolice din cauza otrăvirea cache. Acest tip de atac nu este ușor de interceptat. Poți fi sub atac pentru o lungă perioadă de timp fără a realiza cu ușurință că sunteți, cu toate acestea, este aproape imposibil de a găsi servere de nume vulnerabile la acest atac învechit acum considerat ^{[ nici} o ^{sursă ].}

Fizică interferarea cu DNS

Acest tip de atac este foarte simplu, dar numai dacă aveți acces direct la un server de nume și au capacitatea de a modifica direct înregistrările prin schimbarea manual adresele IP de interes pentru atacator.

Contramăsuri

În ceea ce privește simularea răspunsurilor DNS este în cauză, primul contraactiune este cu siguranță să realizeze că sunteți sub atac și acest lucru este posibil prin identificarea oricăror răspunsuri multiple (IDS) ^[1] . O a doua opțiune este Domain Name System Security Extensions ( DNSSEC ), un protocol care verifică și validează cereri ^[3] ^[1] .

În ceea ce privește DNS spoofing prin otrăvire ARP cache, puteți utiliza o sursă deschisă soluție numită Arpon (ARP inspecție handler). Arpon este un daemon portabil care face protocolul ARP în condiții de siguranță împotriva omului în atacurile de mijloc prin ARP spoofing ARP Cache otrăvirile, ARP Routing Poison (DAE) tehnici. O altă soluție este de a utiliza un server care generează câmpul ID pachet la întâmplare și în același mod alege un număr port de comunicare.

DNS spoofing exemplu

Exemplul utilizează tehnica de simulare DNS într - o rețea locală cu ettercap program, folosind ca exemplu de configurare conținute în fișierul etter.dns (pentru a vedea această configurație doar deschide fișierul etter.dns al programului în sine). Pentru a rula exemplul aveți nevoie de un calculator personal cu Linux sistem și ettercap instalat.

Este:

host1 = foo cu IP 192.168.1.9 atacator
host2 = mouse-ul cu IP 192.168.1.5 victima

Mickey vrea să se conecteze la site-ul www.icann.org (vom folosi configurația implicită a ettercap) și foo vrea să ruleze o simulare a răspunsurilor DNS pe Topolino; pentru a face acest lucru, executați următoarea comandă:

 foo: ettercap -T -M arp: la distanță /192.168.1.9/ /192.168.1.1/ -P dns_spoof

Cu această comandă tastat de la consola, foo 192.168.1.9 pretins a fi poarta de acces (192.168.1.1) și redirecționat cererile de Topolino 192.168.1.5 adresate www.icann.org direct pe www.example.com; în mod evident, pentru a face totul de lucru, el trebuie să configurați redirecționarea în modul următor (care a fost deja făcut, de exemplu, în interiorul fișierului)

 /usr/share/ettercap/etter.dns nano: foo

Acest redirecționează toate conexiunile la example.com ICANN. Dacă doriți să redirecționați un site generic la o altă adresă, doar deschide fișierul etter.dns cu Nano sau orice alt editor de text , și să analizeze prima parte a fișierului care arata ca acest lucru:

În această primă parte a fișierului el explică modul în care trebuie să fie structurat interogările, deci, dacă doriți să redirecționați mai multe site-uri doar să adăugați la dosar mai multe structuri identice cu cele ale exemplului, în cazul în care în loc de icann inserăm site-ul pe care doriți să redirecționați și în loc de „adresa IP a example.com folosim adresa IP în cazul în care dorim să redirecționeze interogarea. Amintiți-vă că, de asemenea, trebuie să modificați interogarea inversă (PTR).

Instrumentele de aplicare

Există diverse instrumente de aplicații pentru a efectua acest tip de atac. Printre cele mai bune sunt cunoscute ettercap, Dsniff și Zodiac.

ettercap

Acesta este un program avansat de sniffer , dezvoltat de doi programatori italieni, ceea ce permite de a intercepta toate în prezent traficul în rețea , chiar și în prezența unor comutatoare . În plus, acesta oferă o serie de caracteristici care un software foarte bun fac. Printre aceste funcții avem:

SSH 1 și HTTPS parola sniffing;
de colectare a parolei pentru o multitudine de protocoale;
OS amprentare pentru recunoașterea sistemelor de operare pe gazde găsite în rețea;
Abilitatea de a închide o conexiune sau de a insera caractere străine;
Suport pentru diverse plugin-uri care, la rândul lor, au funcții, cum ar fi DNS spoofing, PPTP sniffing

Dsniff

Este un pachet de instrument ușor învechit, dar încă mai interesant pentru diferitele posibilități oferite de sniffing. Pachetul include: dsniff (un sniffer parolă), arpspoof (un instrument de otrăvire ARP), dnsspoof (un instrument pentru spoofing DNS), msgsnarf (instrument care capturează și afișează mesaje între clienți de mesagerie instant), mailsnarf (instrument dedicat pentru a încălca intimitatea altora, de fapt , surprinde și mesaje de display - uri de e - mail), tcpkill (instrument care se termină tcp conexiunile din rețeaua locală), tcpnice (aplicație care forțează alte conexiuni pentru a reduce consumul de lățime de bandă, pentru a favoriza propriile conexiuni) și în cele din urmă webspy (programul captează și afișează navigare pe web victimei în timp real).

Zodiac

Zodiac este un program care analizeaza protocolul DNS. Acesta vă permite să observe traficul în rețea, analizând modul în care pachetele sunt asamblate și dezasamblate. Ofertele de software, pentru cei care nu sunt experți în sectorul, instrumente pentru:

a se vedea cum funcționează protocolul DNS
spoof fără a fi nevoie să rutine de modificare a scrie sau filtre de pachete

Caracteristicile sale sunt următoarele ^[6] :

Posibilitatea de a intercepta orice tip de dispozitiv configurat ( Ethernet , PPP etc.)
Capacitatea de a capta și decoda aproape toate tipurile de pachete DNS, inclusiv pachete unzipped
interfață Textual cu comenzi interactive și mai multe ferestre
Structura filetată permite o mai mare flexibilitate atunci când adăugarea de noi caracteristici
Codul este curat, a comentat și testat foarte bine, ceea ce simplifică extinderea
sistemul pachetelor filtre DNS permite instalarea pseudo DNS filtre selectabile dintr-o gamă largă de construcții de pachete DNS primitivelor
Abilitatea de a vedea versiunea server de nume DNS folosind cereri BIND
DNS spoofing, răspunde la interogări DNS pe LAN înainte de la distanță Name Server (rezultând starea cursă)
DNS spoofing cu jizz, exploatarea punctelor slabe în versiunile mai vechi ale BIND.
DNS ID spoofing, exploatând punctele slabe în protocolul DNS.

Notă

^ ^A ^b ^c ^d Antonio Guzzo, Atacul „Omul din mijloc“ de tip. (PDF), pe right.it.
^ În domeniul telecomunicațiilor și tehnologiei informației, full-duplex este o metodă de trimiterea și primirea de informații digitale sau analogice, cu o funcție complet bidirecțională.
^ ^A ^b ^c cache poisoning DNS și Legare (PDF), pe ucci.it.
^ DNS cache poisoning | Articole de siguranță | Sicurezza.HTML.it , pe web.archive.org 25 august 2010. Adus de 12 septembrie 2020 (arhivate de la URL - ul original la data de 25 august 2010).
^ Patrick Assirelli si Matteo Battaglia, Intră atacuri: Spoofing, Sniffing, phishing, keylogger (PDF), pe cs.unibo.it.
^ (EN) Darknet, Zodiac - protocol de monitorizare si DNS spoofing Tool - Darknet pe https://www.darknet.org.uk/ , 18 iulie 2008. Adus de 12 septembrie 2020.

Bibliografie

Cricket Liu și Paul Albitz, DNS și BIND , O'Reilly, 2006, ISBN 2-84177-409-0 ,OCLC 421777651 .

Elemente conexe

linkuri externe

Portal de criptografie

Portal IT

Portal de securitate IT

[:0-1] A ^b ^c ^d Antonio Guzzo, Atacul „Omul din mijloc“ de tip. (PDF), pe right.it.

[2] În domeniul telecomunicațiilor și tehnologiei informației, full-duplex este o metodă de trimiterea și primirea de informații digitale sau analogice, cu o funcție complet bidirecțională.

[:1-3] A ^b ^c cache poisoning DNS și Legare (PDF), pe ucci.it.

[4] DNS cache poisoning | Articole de siguranță | Sicurezza.HTML.it , pe web.archive.org 25 august 2010. Adus de 12 septembrie 2020 (arhivate de la URL - ul original la data de 25 august 2010).

[5] Patrick Assirelli si Matteo Battaglia, Intră atacuri: Spoofing, Sniffing, phishing, keylogger (PDF), pe cs.unibo.it.

[6] (EN) Darknet, Zodiac - protocol de monitorizare si DNS spoofing Tool - Darknet pe https://www.darknet.org.uk/ , 18 iulie 2008. Adus de 12 septembrie 2020.

[1]

[2]

[3]

[4]

[5]

[6]