Perché ho ricevuto un IP e un certificato errati per www.facebook.com proprio ora? [chiuso]

Naviga le tue risposte
2

Ho appena navigato su www.facebook.com e il mio browser mi ha avvisato che è stato ricevuto un certificato non valido. Ho controllato il cert in questione e sono rimasto sorpreso nel vedere che il Common Name su di esso era www.hackermagnet.com.

Dopo l'iniziale scazzottata, ho avviato Wireshark, ricaricato Facebook e controllato i pacchetti trasmessi. Ho visto che la risposta alla query DNS per www.facebook.com era, in effetti, l'IP di questo www.hackermagnet.com.

Mentre ho un router notoriamente cattivo, ho considerato che avrebbe potuto memorizzare nella cache l'indirizzo sbagliato per Facebook, ma non penso di aver mai visitato l'hackermagnet perché ciò accadesse. Potrebbe essere un mix di ISP raro o qualcosa del genere? Inoltre, anche se chiedessi a hackermagnet il suo certificato, perché risponderebbe quando nell'intestazione dell'estensione di indicazione nome server posso vedere che il mio browser ha chiesto specificamente il certificato di facebook?

Il problema si è risolto dopo un po ', ma tutta questa cosa mi preoccupa (e mi sconcerta).

Grazie per il tuo tempo.

Il mio computer utilizza 192.168.2.1 (il mio router) come DNS, mentre il router ottiene automaticamente le informazioni DNS tramite l'interfaccia PPPoE. Attualmente i server DNS del router sono 62.38.1.81 e 62.38.0.81 (secondario).

    
posta user2802299 16.02.2016 - 22:45
fonte

2 risposte

1

Sembra che il tuo router o il tuo server DNS dell'ISP sia stato colpito da un attacco di avvelenamento della cache DNS. Il seguente articolo descrive come ciò potrebbe verificarsi: link

Poiché questo è solo in grado di cambiare la configurazione per il Time To Live (TTL) del dominio che viene dirottato (facebook.com), andrà via di sua volontà una volta scaduto il tempo, a meno che l'attaccante non sia in grado ripetere l'attacco.

Si consiglia di configurare i sistemi sulla rete e il router stesso per consultare un server DNS pubblico (più o meno) attendibile al posto di quelli forniti dal proprio ISP. Un esempio è DNS pubblico di Google alle pagine 8.8.8.8 e 8.8.4.4.

    
risposta data 16.02.2016 - 23:38
fonte
0

Sembra strano ma significa che il dominio è stato tradotto in IP di www.hackermagnet.com . Come ho verificato, non c'è dietro CDN e IP è stabile : 195.154.223.98 .

Qualunque sia la risoluzione del nome potrebbe essere memorizzata nella cache nel tuo browser web. Chromium / Chrome ha questo: controlla chrome://net-internals/#dns e questo thread .

Sospetto che da qualche parte la risoluzione DNS non sia stata memorizzata correttamente nella cache:

  • nel browser web - problema di cache?
  • sul tuo DNS - potrebbe essere un router se hai la configurazione DHCP predefinita che punta al tuo router, non al DNS pubblico assegnato dall'ISP
  • su ISP DNS - brutto .. ma potrebbe succedere
risposta data 16.02.2016 - 23:01
fonte

Leggi altre domande sui tag

Con quale facilità verranno violati i dati vBulleting di vBulletin e Foxit? Quali dati sono a rischio? Come è stato incarcerato? Accedi a MySQL tramite le credenziali MySQL, supponendo che non ci sia accesso remoto a MySQL, FTP o SSH?