Una domanda riguardante gli attacchi DNS

3

Quando accadrebbe effettivamente un attacco DNS?

È già possibile quando connetto il mio pc al router che è collegato al modem del mio isp e ha ricevuto i loro server DNS, o più tardi quando sto cercando di raggiungere un sito web? Se la seconda possibilità è vera suppongo che l'uso di tor browser o whonix sarebbe una protezione adeguata se si desidera navigare sul Web in modo sicuro. Ho sentito delle perdite DNS in alcuni programmi di messaggistica istantanea.

    
posta Junior J. Garland 14.07.2015 - 00:59
fonte

2 risposte

3

Un attacco DNS si verifica quando un utente malintenzionato può influenzare il modo in cui il computer risolverà i nomi host / dominio.

Ciò può accadere se un utente malintenzionato è in grado di:

  1. Modifica l'indirizzo IP del server DNS nelle impostazioni di rete sul tuo computer
  2. Modifica l'indirizzo IP del server DNS nelle impostazioni di rete sul router
  3. Modifica il file hosts sul tuo computer
  4. Intercetta e modifica le risposte DNS che vanno al tuo computer
  5. Avvelenare la cache DNS del server DNS che si sta utilizzando o la cache del router o del PC
  6. Ci sono anche altri modi ...

Se ciò accade, l'utente malintenzionato può facilmente reindirizzarti verso siti che non hai intenzione di visitare. Ad esempio, se digiti www.google.com nel tuo browser, il tuo browser proverà a risolvere prima il nome host / dominio in un indirizzo IP. E se l'hacker controlla il modo in cui lo fa il tuo PC, può inviarti qualsiasi IP che vorrà che tu possa visitare invece dell'IP di www.google.com.

Quando si utilizza il browser ToR, il PC non risolve il nome host / dominio in un indirizzo IP, ma il nodo di uscita ToR lo fa. Se il nodo di uscita ToR viene attaccato, puoi nuovamente essere reindirizzato a destinazioni sbagliate.

    
risposta data 14.07.2015 - 13:23
fonte
2

When would a DNS attack actually happen? [...] [W]hen [...] my pc [first receives DNS servers from] the router which is connected to my isp's modem?

Questa è una possibilità interessante, in qualche modo iniettare i server DNS di un utente malintenzionato nelle risposte DHCP. Questo non è il modo in cui di solito viene fatto, perché un intruso non riesce a ottenere tra il computer dell'utente e l'ISP più facilmente di un semplice attacco all'ISP.

or later when i am trying to reach a website?

Di solito succede quando succede. Quando il tuo computer chiede al server DNS di un ISP di risolvere un host, il server DNS dell'ISP potrebbe dover controllare con altri server DNS sul web se non ha nuove risposte nella sua cache. Gli aggressori di solito cercano di sfruttare le debolezze nei server DNS del sito o nell'hosting DNS, consentendo di modificare i record (questo è apparentemente più facile da estrarre rispetto a un compromesso completo). O altri server DNS nella catena di delega delle richieste DNS.

    
risposta data 14.07.2015 - 04:43
fonte

Leggi altre domande sui tag