Attacco rebinding DNS: questo attacco richiede che la vittima utilizzi il server DNS di un attaccante per la risoluzione? Come succederà?

La vittima non ha bisogno di usare il server dei nomi degli attaccanti, anche se questo può rendere le cose più facili. L'idea principale è che il record DNS originale sia sotto il controllo degli attaccanti e quindi anche il TTL (time to live) di questo record:

• Vittima tenta di accedere al sito web. Per ottenere l'indirizzo chiede al server DNS delle aziende. Poiché il record non è memorizzato nella cache, il server DNS risolve in modo ricorsivo il nome e restituisce il record (dal server DNS degli hacker) alla vittima.
• Se la vittima ha bisogno di cercare nuovamente l'indirizzo IP (che può essere spesso attivato da errori di connessione sul primo IP) richiederà di nuovo al server DNS dell'azienda. Se il record è memorizzato nella cache, TTL viene controllato. Se il record è ancora valido, verrà restituito alla vittima (con il vecchio indirizzo). Se non è valido, il server DNS dell'azienda risolverà nuovamente ricorsivamente il nome e alla fine otterrà il nuovo record dal server DNS degli hacker.

Un'altra opzione potrebbe essere che l'autore dell'attacco restituisca una risposta che contiene già entrambi gli indirizzi IP (quello buono e quello cattivo). La vittima utilizzerà prima il buon indirizzo. Una volta che questo smette di funzionare (che può essere attivato dall'attaccante), la vittima riproverà con l'indirizzo IP (cattivo) alternativo.