Dopo aver letto la domanda su uno script di google analytics manipolato mi chiedo come proteggi contro questo tipo di attacco .
Ciò che ti viene in mente è impostare l'IP DNS fisso nella configurazione di rete o utilizzando un tunnel, ma in entrambi i casi non rileveresti l'attacco.
C'è un modo per proteggersi e anche essere in grado di rilevare l'attacco?
Temo che non avremo una soluzione adeguata finché non avremo tutti a utilizzare DNSSEC.
Tuttavia, prevedo che a meno che qualcuno non rilevi un difetto davvero critico nel protocollo DNS che impone a tutti di implementarlo, ci vorranno molti anni ☹ (basta guardare IPv6).
Come soluzione parziale, il resolver DNS può essere impostato su un resolver DNS affidabile che firma anche tutte le risposte senza segno con la propria chiave. Questo non rileverà che il server DNS fornito sulla risposta DHCP è malevolo / avvelenato, ma, aggiungendo il codice appropriato sul risolutore stub, se tutte le query DNS a cui risponde il malvagio server DNS, potresti notarlo.
Penso che l'unico modo per rilevare l'attacco sia quello di eseguire uno script personalizzato nel backgorund della tua sessione, che invierebbe tutte le tue richieste DNS a un server DNS sicuro affidabile (utilizzando la firma o HTTPS) e anche al tuo DNS locale. Quindi potrebbe confrontare i risultati e fornirti una casella di avviso se i risultati non corrispondono ad es. se gli indirizzi IP forniti non sono registrati nello stesso dominio ...
Leggi altre domande sui tag dns