Come funziona il controllo di sicurezza DNS / router?

3

Strumenti come questo vengono utilizzati per verificare se il tuo router è stato infettato da malware che reindirizza il tuo traffico attraverso i server DNS dei cattivi. Come possono questi strumenti indicare quali server DNS sono effettivamente utilizzati e se sono legittimi o meno? Le risposte a una domanda indicano che i produttori di utensili stanno mantenendo liste nere di server nocivi conosciuti. Questo non sembra fattibile per me. Un altro punto che non viene discusso è il modo in cui gli strumenti sanno esattamente quale server DNS ha effettuato la richiesta. Un server non valido non invia necessariamente una richiesta diretta al server DNS proprietario del dominio. Quindi, come funziona tutta questa cosa, esattamente?

    
posta Atte Juvonen 28.11.2016 - 01:00
fonte

1 risposta

2

Guardando l'output di tcpdump e l'output del debugger dall'esecuzione dello strumento, sembra che la pagina recuperi questo URL:

link

e ottiene una risposta simile a questa:

{   "ping_url": " link stringa] .names.dnscheck.sc.fsapi.com / prod / v1 / result? apikey = [stringa arbitraria] & output = dns" }

La stringa arbitraria nel nome host e la chiave API sembrano cambiare a ogni richiesta.

... GETting that URL restituisce output come questo:

{   "asn": "12008",   "asn_org": "NeuStar, Inc.",   "isp": "NTT America",   "org": "NeuStar",   "continent_code": "NA",   "continent_name": "Nord America",   "country_code": "Stati Uniti",   "country_name": "Stati Uniti",   "registered_country_code":   "NOI",   "registered_country_name":   "Stati Uniti",   "dns_ip": "165.254.23.143",   "known_public_dns": "Norton ConnectSafe",   "verdetto": "incerto" }

.. quindi sembra che abbiano configurato un server per monitorare l'origine delle ricerche DNS (è per questo che ottieni il tuo nome host personalizzato / casuale da cercare) e poi fai un rapporto sull'entità che ha creato la richiesta.

L'esempio che mostro qui è di Firefox, che apparentemente viene intercettato da un servizio Norton che non ho installato; se faccio la stessa richiesta da Chrome, mostra i dati che identificano la richiesta come provenienti dal mio provider di rete upstream.

Quindi, come discusso nella tua domanda e nei commenti alla tua domanda, sembra che un malintenzionato provider DNS possa semplicemente passare tutte le loro richieste a Google o a un altro provider DNS upstream, e questo strumento probabilmente non li prenderebbe .

    
risposta data 29.11.2016 - 02:24
fonte

Leggi altre domande sui tag