In che modo DNS-spoofer conosce la destinazione originale del pacchetto?

1

Forse è la mia mancanza di una conoscenza più approfondita di come funzionano il DNS, il NAT o il TCP, ma ho pensato al seguente scenario e non riesco a capire il seguente problema che si verifica nell'attacco MITM di spoofing DNS:

Immagina un attacco MITM, che viene eseguito usando lo spoofing del DNS. Una vittima tenta di connettersi al server A (www.example.com), ma poiché utilizza un DNS primario falso, gli fornisce un falso indirizzo IP dell'altro server B. Ora, poiché la vittima pensa che abbia l'indirizzo IP corretto, inizia alcune comunicazioni con B. L'attaccante vuole solo intercettare il traffico e inoltrarlo alla sua destinazione corretta, in modo che non sollevi il sospetto della vittima. In che modo l'attaccante conosce la destinazione originale?

Nel caso in cui la comunicazione sia HTTP, allora questo è facile poiché ogni richiesta porta il suo URL. Ma cosa succede nel caso più generale di un normale pacchetto TCP (non HTTP). Poiché l'intestazione TCP ora contiene l'indirizzo IP del server B dell'aggressore, in che modo l'hacker conosce la destinazione originale di questo pacchetto?

Il mio particolare pensiero è che l'autore dell'attacco parli di 2 o più nomi di dominio che puntano a server che eseguono servizi con gli stessi numeri di porta.

    
posta NumberFour 13.02.2015 - 19:50
fonte

1 risposta

2

Protocollo HTTP

Per HTTP questo potrebbe essere generalizzato a

How does webserver hosting more websites knows which one to host?

Questo avviene tramite la tecnica chiamata Virtual Hosting in cui il browser aggiunge l'intestazione Host ad ogni richiesta di invio e il server web serve il contenuto del sito desiderato, decidendo tramite l'intestazione. Quindi se ospito foo.com e bar.com sullo stesso server e voglio visitare il mio sito foo, il browser aggiungerà (determinando l'indirizzo URL nel browser) " Host: foo.com "header.

Maggiori informazioni su Wikipedia

Altri protocolli

Qui hai un problema - non lo sai. O puoi semplicemente catturare la richiesta DNS (che è anche molto utile) e inviarla alla sua destinazione originale o puoi falsificare la destinazione, ma poi devi avere un ascoltatore sulla porta in attesa di un traffico specifico. Questo potrebbe essere usato per rubare credenziali di autenticazione o qualcosa del genere, ma è un attacco molto mirato.

Altrimenti è molto specifico del protocollo. Forse il protocollo del livello applicazione supporta qualcosa di simile all'intestazione Host come HTTP.

Supponiamo che tu sappia che foo.com sta anche ascoltando sulla porta 21 (protocollo FTP). Se lo sapevi, puoi spoofare il DNS per reindirizzare al tuo server dove il tuo server FTP è in ascolto e rubare le sue credenziali.

Se non hai un server in ascolto - spoofing il suo traffico, tutto ciò che puoi fare è farlo, perché il tuo DNS canaglia lo sta indirizzando verso luoghi che non esistono.

Spero che questo risponda correttamente alla tua domanda.

M

    
risposta data 13.02.2015 - 21:32
fonte

Leggi altre domande sui tag