DNS MITM Attack

is it possible for them to intercept your DNS queries and replace them with ones that send you to a server under their control?

Sì, un utente malintenzionato MITM può intercettare le query DNS e modificare la risposta in modo che punti a un altro server. Il protocollo DNS originale non ha una sicurezza integrata e le sue query e risposte possono essere facilmente modificate. Il protocollo DNSSEC rappresenta un possibile approccio per prevenire questi attacchi aggiungendo l'autenticazione al traffico DNS (ma non crittografia).

If it's an https site you're trying to reach I would imagine it will be a little harder to pull off [...]

Se si tratta di un sito HTTPS, l'utente malintenzionato non può semplicemente collegarsi a un server diverso perché il browser verifica il certificato TLS del sito. Se provano a connetterti al loro server quando visiti https://mybank.com/ , non saranno in grado di completare un handshake TLS perché non possiedono un certificato firmato da una CA per mybank.com . Di conseguenza, il tuo browser ti avvertirà che la connessione non è affidabile. Vedi " Come funziona SSL / TLS? " per i dettagli.

they could redirect you to a misspelling of the real domain and then present a similar login page in an attempt to steal your creds.

Sì, è possibile. Ma questo funziona solo se l'attaccante cattura un semplice traffico HTTP dove possono iniettare il loro reindirizzamento dannoso. Se le vittime utilizzano HTTPS fin dall'inizio, non c'è alcun modo per l'utente malintenzionato di reindirizzare l'utente verso un dominio diverso. HSTS è una tecnica per prevenire questi attacchi di reindirizzamento (e downgrade attacchi in generale). Si tratta di un'intestazione HTTP che i siti Web possono inviare per costringere gli utenti a visitare sempre il loro sito tramite HTTPS dopo la loro prima visita, dando così a un MITM alcuna possibilità di manomettere qualsiasi traffico HTTP normale.

Sì, questo è possibile.

Se non hai specificato manualmente il tuo server DNS per l'interfaccia su cui stai lavorando e ne ricevi uno da DHCP, puoi semplicemente inviarti al loro server DNS dannoso e risolvere le tue richieste per te.

Anche senza specificare un server DNS nelle impostazioni dell'interfaccia, è possibile configurare il firewall per reindirizzare TCP / UDP 53 (DNS) su un server scelto dagli aggressori. HTTPS rende questo esponenzialmente più difficile da fare senza convincere la vittima a ignorare gli avvertimenti SSL o installare una CA radice nella casella delle vittime.

Puoi facilmente eseguire l'attacco MITM. Ogni volta che desideri visitare un sito web come Google.com, il tuo browser web avvia un pacchetto DNS sul server DNS per risolvere il nome del dominio Google.com in un indirizzo IP per il routing IP. Supponiamo che tu sia un aggressore malleabile e usi gli strumenti di sniffing dei pacchetti, quindi puoi facilmente catturare la richiesta DNS o il pacchetto di risposta e quindi manipolare facilmente le cose nel pacchetto.

Non importa se cerchi di visitare il sito Web HTTP o HTTPS perché qualsiasi sito Web (che sia HTTP o HTTPS) prima necessita di una risoluzione DNS.

L'unico modo per mitigare tale attacco è quello di riscrivere l'indirizzo IP del sito web nel tuo file host (che è un lavoro noioso) o puoi usare una VPN in cui puoi scavare anche il traffico DNS verso il server VPN ed essere sicuro che nessun utente malintenzionato può manomettere i dati mentre si è su una rete pubblica.

Sì, questo è possibile! Quando si collega con MITM, tutte le connessioni del dispositivo della vittima vengono indirizzate alle proprie. Per questo motivo puoi facilmente falsificare un file hosts. Di solito uso dnsspoof. Questo è uno strumento preinstallato di Kali Linux.