Record MX Man In The Middle Attack?

L'avvelenamento del DNS e il MiTM non sono necessariamente la stessa cosa. Puoi avvelenare il DNS senza quindi avviare il traffico verso la fonte reale. L'e-mail è una transazione senza stato, è sufficiente ricevere la trasmissione, nella maggior parte dei casi non c'è una risposta immediata. Ora, naturalmente, se inoltrerai il messaggio al destinatario reale risponderanno e potrai quindi catturare la prossima risposta al bersaglio avvelenato.

In una configurazione di base questo dovrebbe funzionare. Ovviamente questo non sconfiggerà i messaggi crittografati con PGP o equivalenti poiché quelli sono a un livello superiore. Ho bisogno di controllare dopo alcune ricerche, ma penso che ci siano alcuni protocolli di fiducia peer-to-peer o simili che rilevano che un ladro è stato sul posto, ma quelli non sono di base / standard.

Modifica: In realtà questo potrebbe funzionare sia sul lato SMTP che su POP / IMAP. Ovviamente non funziona se gli indirizzi IP vengono utilizzati senza la risoluzione dei nomi.

Sì, credo che il TS stava chiedendo e mescolando su avvelenamento della cache DNS e MiTM per annusare i messaggi di posta elettronica. Web Design Hero è corretto. Avvelenamento e MiTM sono due cose diverse. Giusto per aggiungere, questa è la mia spiegazione delle cose poiché questi sono due diversi tipi di attacco e ci sono molte tecniche per questo.

Con l'avvelenamento della cache DNS, ci sono due (2) opzioni che puoi considerare:

1. Puoi scegliere di sfruttare un difetto nel server DNS per accedere ai record O
2. Puoi scegliere di accedere ai record DNS in un metodo diverso (usando MiTM) senza la necessità di sfruttare un difetto nel sistema DNS. Quello che stai facendo sono le credenziali necessarie per accedere ai record DNS.

L'avvelenamento da cache funziona quando si inseriscono voci non valide nel DNS in modo che le richieste DNS successive vengano risolte nelle voci DNS dannose una volta che si è verificato un aggiornamento. Significa che hai sample.com come dominio e hai:

    sample.com.        IN      MX  10   mail.sample.com.

L'attaccante può fare:

    sample.com.        IN      MX  10   mail.smple.com.

Dopo l'aggiornamento, questo verrà propagato ad altri server dei nomi che agiscono autorevolmente se primario o secondario ecc. per il tuo dominio. L'host malevolo, naturalmente, mail.smple.com può inoltrare ogni copia del messaggio al vero MX mail.sample.com, quindi tutto andrà bene. L'individuazione del corso è più difficile perché ovviamente non è necessario controllare ogni record DNS nel server dei nomi ogni giorno, a meno che non si esegua una riconfigurazione o si abbia qualcosa di sospetto.

Con MiTM, hai a che fare con il livello di rete. L'attaccante deve ricucire se stesso con la rete per condurre l'attacco. Significa che non hai bisogno di lanciare un attacco con il name server, devi solo associarti alla rete per sniffare. Questo di solito funziona come parte della rete interna, spoofing l'IP del gateway è possibile avviare l'ascolto del traffico conducendo avvelenamento ARP, trasmettendo alla rete interna che sei il gateway legittimo e inoltrando il traffico a te prima che raggiunga l'altra estremità anche se può funzionare anche IP pubblico tramite un MiTM BGP. Può effettivamente sconfiggere la sicurezza del livello di trasporto come SSL / TLS non perché li spezza, ma perché il traffico può essere indirizzato a una porta diversa.