Avvelenamento della cache DNS

Esistono diversi vettori possibili per l'avvelenamento della cache DNS. In genere, si tratta di un attacco contro un server DNS che i client utilizzano e l'autore dell'attacco sta tentando di indirizzare il proprio attacco, ma devono solo conoscere il server DNS utilizzato dal client. Se il server DNS è resistente, un altro approccio potrebbe essere quello di provare e falsificare effettivamente la risposta DHCP per ottenere il sistema di destinazione per connettersi al server DNS sbagliato. Se ciò non funziona, l'utente malintenzionato potrebbe tentare di compromettere un server DNS che il server DNS della destinazione potrebbe chiedere aiuto per la risoluzione di un dominio.

Nessuno di questi richiede di conoscere l'IP. Il DHCP richiede la conoscenza dell'indirizzo MAC per il targeting di un sistema. Non sono sicuro di come il numero di porta sia rilevante per l'avvelenamento del DNS poiché i server DNS operano su porte standard e l'attacco non è generalmente contro il client di destinazione. Non sono sicuro di cosa intendi per numero di transazione.

Il classico attacco di avvelenamento della cache DNS funziona in questo modo:

Qualcuno interroga un risolutore DNS per example.com. Il resolver chiederà al server autorevole di example.com il suo indirizzo ip. Questo server, tuttavia, risponderà con un record DNS aggiuntivo per un altro dominio. In passato molti risolutori DNS hanno memorizzato nella cache il record falso anche per l'altro dominio.

Questo attacco non è correlato alla contraffazione dei pacchetti di risposta DNS, che è un altro attacco comune su DNS. Per falsificare i pacchetti, gli indirizzi IP e le porte di entrambe le estremità devono essere conosciuti o indovinati dall'attaccante.