Cosa è implicato nel rilevare il nome di dominio di qualcun altro?

7

Lo sto chiedendo per ragioni puramente accademiche.

So che esistono elenchi di record di dominio e quant'altro, ma sto cercando di capire la struttura esatta di come funziona il DNS e dove qualcuno può potenzialmente assumere il controllo di un nome di dominio. Anche se la mia web-app non ha assolutamente buchi in essa, qualcuno non può semplicemente cambiare i record del dominio per puntare altrove e dirottare il mio traffico?

    
posta Moshe 21.11.2010 - 17:02
fonte

3 risposte

6

I dirottamenti del dominio non avvengono tramite gli hack delle applicazioni Web, ma di solito sono tramite vulnerabilità nel sistema del registrar di domini, o gestendo per intercettare / assumere gli account di posta elettronica ai quali i domini sono registrati - così l'utente malintenzionato può reimpostare le password e intercettare le email di trasferimento, accettando il trasferimento.

Normalmente succederà riuscendo a convincere il registrar del dominio che l'attaccante è il proprietario del dominio, utilizzando le informazioni personali sul proprietario del dominio per accedere al proprio account sul registrar e quindi passare i server DNS al DNS di un aggressore server da cui possono reindirizzare come preferiscono o trasferendo il dominio all'autore dell'attacco.

Ovviamente, semplicemente aspetta che il dominio scada e lo riprenda prima che sia rinnovato.

ICANN ha prodotto un rapporto nel 2005 su questo problema, che copre i rischi e le azioni puoi prendere.

    
risposta data 21.11.2010 - 17:30
fonte
1

Gli attacchi man-in-the-middle contro DNS si basano sulla possibilità di creare una risposta alla richiesta DNS di una macchina vittima che viene ricevuta dalla vittima prima di una risposta legittima. Pertanto, potresti inviare pacchetti UDP che affermano di provenire dal server DNS della vittima e affermare che www.victimsbank.example ha un record A di attacker.evilpeople.esempio dell'indirizzo IP. Quando la vittima va a visitare quel sito, se il tuo pacchetto arriva prima del risultato reale, passa al server dell'attaccante.

    
risposta data 21.11.2010 - 22:06
fonte
1

Anche se non prendi ufficialmente il nome di dominio di qualcuno, potresti comunque essere in grado di "rilevare il nome del dominio". Cioè, temporaneamente.

  • Avvelenamento del DNS (basando fondamentalmente i risultati di una query inesistente)
  • Host sovrascrittura - su Windows è presente un file hosts che sovrascrive il DNS. Le voci inserite non chiedono nemmeno il DNS per un IP, ma andranno direttamente lì. Se posso farlo in qualsiasi modo - accesso interattivo, difetto di app che mi consente di scrivere su file, ecc. - Posso effettivamente occuparmi di qualsiasi sito web, accessibile da quella macchina.
  • Dominio accovacciato su parole comunemente errate (ad esempio googel.com)
  • Rebinding DNS . Questo è un problema più complesso, ti suggerisco di leggere anche su RSnake's blog .
  • Per quanto riguarda il MITM, RSnake ha di nuovo una bella lista di possibili vettori.
risposta data 22.11.2010 - 07:27
fonte

Leggi altre domande sui tag