DNS spoofing

Il DNS spoofing è un attacco informatico, facente parte di una categoria più vasta denominata man in the middle.

Introduzione[modifica | modifica wikitesto]

Gli attacchi di tipo man in the middle consistono nel deviare i pacchetti (in una comunicazione tra due host) verso un attaccante, che finge di essere il mittente o destinatario vero. La struttura è la seguente: una comunicazione a due dove l'attaccante s'interpone tra i due host vittime A e B^[1].

L'attaccante invia comunque i pacchetti che riceve alla giusta destinazione. In questo modo i due host attaccati non si accorgono che la comunicazione è stata alterata. In base alle abilità dell'attaccante di alterare la connessione l'attacco prende il nome di man in the middle half duplex (in una comunicazione bidirezionale si monitorizza solo un senso della connessione) o man in the middle full duplex^[2].

Lo scopo di questi attacchi può essere quello di rubare delle informazioni personali oppure monitorare e alterare la comunicazione tra due utenti.

DNS-Query[modifica | modifica wikitesto]

Il sistema DNS su Internet ha il compito di trasformare l'indirizzo simbolico (ad esempio www.prova.org) in indirizzo numerico o IP (ad esempio 202.159.XXX.XXX)^[3]. I server DNS sono organizzati secondo una struttura ad albero gerarchica^[4], in cui ogni nodo corrisponde ad un dominio. I server DNS scambiano record DNS mediante tre tipi di messaggi: query, response e update. Supponiamo ad esempio di voler contattare tramite un browser il sito www.prova.org. Quest'operazione consiste in una serie di DNS query. Il server DNS dopo aver trovato l'indirizzo IP tramite varie chiamate ad altri server DNS lo comunica alla macchina richiedente con un DNS response che deve contenere l'IP giusto.

La struttura reale di una query è molto più complessa ed articolata ma questo modello semplificato è sufficiente a introdurre le caratteristiche principali dell'attacco.

DNS Spoofing[modifica | modifica wikitesto]

Il DNS spoofing si svolge nel modo seguente: la vittima fa una DNS query, l'attaccante la cattura e manda alla vittima una risposta fasulla, diversa da quella che sarebbe stata fornita dal DNS.

I messaggi DNS viaggiano sulla rete utilizzando il protocollo UDP. La sicurezza è affidata al protocollo DNS il quale ha dei punti deboli. L'attacco sfrutta alcuni campi delle DNS query^[5]:

l'ID (evidenziato in grigio nella figura) è un campo di 16 bit che individua la transazione. Viene generato dall'host che ha originato una DNS query; le risposte devono avere il medesimo id, altrimenti l'host non le accetterà come valide.
Il campo QUESTION (sempre in grigio) contiene il nome di dominio richiesto e il tipo di record che devono essere inviati come risposta.

Tale attacco può esser effettuato in varie modalità:

Simulazione delle risposte del DNS
Cache poisoning
Manomissione fisica del DNS

L'obiettivo dello spoofing è modificare la corrispondenza tra indirizzo IP e nome del sito contenuti nelle risposte.

Simulazione delle risposte del DNS[modifica | modifica wikitesto]

Questa tipologia d'attacco deve considerare l'ID della query. L'attaccante intercetta la richiesta di un client, memorizza l'ID contenuto all'interno del messaggio, e crea una falsa risposta con il giusto ID copiato precedentemente. Alla fine rispedisce il tutto al client che ha fatto la query. Affinché l'attacco riesca è necessario rispondere con l'ID atteso dal client prima del vero server. In questo modo il client crede che l'host attaccante sia il server. Questo perché il client accetta la prima risposta che gli viene inviata con id atteso (race condition)^[3]. Infine, è necessario anche intercettare le eventuali reverse query (quelle che traducono indirizzo IP a nome simbolico), perché se parte una nuova richiesta e non la s'intercetta, la vittima può accorgersi che al nome simbolico non corrisponde l'IP ricevuto dal falso DNS^[1].

A questo punto il client invierà tutti i pacchetti destinati a quel nome simbolico all'attaccante, il quale può:

svolgere la funzione di proxy e creare una connessione con il client e una con il server e rimandare ogni richiesta di servizio proveniente dal client al server e ogni risposta dal server al client
non contattare il server reale e simulare i servizi offerti dal server.

Nel caso in cui non si possa intercettare una DNS query si può provare un attacco di tipo blind, ovvero un attacco alla cieca.

La simulazione delle risposte del DNS è facilmente individuabile. Infatti, utilizzando un server DNS diverso si può notare la differenza delle risposte. Inoltre l'IP dell'attaccante è presente nell'intestazione dei pacchetti IP che contengono i pacchetti UDP con le risposte DNS contraffatte.

Cache poisoning (in remoto)[modifica | modifica wikitesto]

Questa tipologia d'attacco consiste nel creare record DNS fasulli e inserirli nella cache del name server. Un name server non può contenere tutte le corrispondenze IP/nome simbolico, pertanto utilizza una cache con parti di tali corrispondenze con TTL, ovvero un periodo di vita dei dati nella cache. La tecnica del cache poisoning (in italiano, avvelenamento della cache), si basa sull'inserimento in cache di record falsi con un TTL molto grande.

Se l'attacco riesce, a questo punto qualsiasi utente che usufruisce di quel determinato server DNS ed esegue query per siti attendibili riceve come risposte corrispondenze IP/nome simbolico sbagliate dovute appunto all'avvelenamento della cache. Questa tipologia d'attacco non è facilmente intercettabile. Si può essere sotto attacco per un lungo periodo senza che ci si accorga facilmente d'esserlo, tuttavia è quasi impossibile trovare name server vulnerabili a quest'attacco ormai considerato obsoleto^{[senza fonte]}.

Manomissione fisica del DNS[modifica | modifica wikitesto]

Questa tipologia d'attacco è molto semplice, ma solo se si ha accesso diretto a un name server e si ha la possibilità di modificare direttamente i record cambiando manualmente gli indirizzi IP di interesse per l'attaccante.

Contromisure[modifica | modifica wikitesto]

Per quanto riguarda la simulazione delle risposte del DNS la prima contromisura è sicuramente accorgersi di essere sotto attacco e ciò è possibile individuando eventuali risposte multiple (IDS)^[1]. Una seconda opzione è il DNSSEC (Domain Name System Security Extensions), un protocollo che controlla e valida le richieste^[3]^[1].

Per quanto riguarda il DNS Spoofing tramite ARP cache poisoning, è possibile utilizzare una soluzione open source chiamata ArpON (ARP handler inspection). ArpON è un demone portabile che rende il protocollo ARP sicuro contro attacchi man in the middle attraverso tecniche ARP Spoofing, ARP Cache Poisoning, ARP Poison Routing (APR). Un'altra soluzione è utilizzare un server che genera il campo ID dei pacchetti in maniera casuale e allo stesso modo sceglie un numero di porta di comunicazione.

Esempio di DNS spoofing[modifica | modifica wikitesto]

L'esempio utilizza la tecnica di simulazione del DNS su una rete locale con il programma ettercap, usando come configurazione quella d'esempio contenuta nel file etter.dns (per vedere tale configurazione basta aprire il file etter.dns del programma stesso). Per eseguire l'esempio è necessario un personal computer con sistema Linux ed ettercap installato.

Sia:

host1 = pippo con ip 192.168.1.9 l'attaccante
host2 = topolino con ip 192.168.1.5 la vittima

Topolino vuole collegarsi al sito www.icann.org (utilizzeremo la configurazione di default d'ettercap) e pippo vuole eseguire una simulazione delle risposte del DNS su topolino; per far ciò esegue il seguente comando:

pippo: ettercap -T -M arp:remote /192.168.1.9/ /192.168.1.1/ -P dns_spoof

Con questo comando digitato da console, pippo 192.168.1.9 si è finto gateway (192.168.1.1) e ha reindirizzato le richieste di topolino 192.168.1.5 indirizzate a www.icann.org direttamente su www.example.com; ovviamente, per far funzionare il tutto, deve configurare il reindirizzamento nel seguente modo (cosa già fatta come esempio all'interno del file)

pippo: nano /usr/share/ettercap/etter.dns

In questo modo vengono reindirizzate tutte le connessioni di icann su example.com. Se si vuole reindirizzare un generico sito su un altro indirizzo, basta aprire il file etter.dns con Nano o con qualsiasi altro editor di testo, ed analizzare la prima parte del file che si presenta nel seguente modo:

In questa prima parte del file spiega come devono essere strutturate le query, perciò se si vogliono reindirizzare più siti basta aggiungere al file più strutture identiche a quelle dell'esempio, dove al posto di icann inseriamo il sito che si vuole reindirizzare e al posto dell'indirizzo IP di example.com utilizziamo l'indirizzo IP di dove si vuol reindirizzare la query. Va ricordato che bisogna anche cambiare la reverse query (PTR).

Tool applicativi[modifica | modifica wikitesto]

Esistono vari strumenti applicativi per svolgere questa tipologia d'attacchi. Tra i più conosciuti vi sono Ettercap, Dsniff e Zodiac.

Ettercap[modifica | modifica wikitesto]

È uno sniffer evoluto, sviluppato da due programmatori italiani, che permette di intercettare tutto il traffico presente in rete anche in presenza di switch. Inoltre, offre una serie di funzioni che lo rendono un software molto valido. Tra queste funzioni abbiamo:

SSH 1 e HTTPS password sniffing;
Password collection per una moltitudine di protocolli;
OS fingerprinting per il riconoscimento dei sistemi operativi sugli host trovati in rete;
Possibilità di chiudere una connessione o inserire caratteri estranei;
Supporto di plugin vari che a loro volta presentano funzioni quali DNS spoofing, PPTP sniffing

Dsniff[modifica | modifica wikitesto]

È un pacchetto di tool un po' obsoleto ma tuttora interessante per le varie possibilità offerte per lo sniffing. Nel pacchetto sono inclusi: dsniff (uno sniffer di password), arpspoof (un tool per ARP poisoning), dnsspoof (un tool per il DNS spoofing), msgsnarf (tool che cattura e visualizza i messaggi tra clients IM), mailsnarf (tool dedito a violare la privacy altrui, infatti cattura e visualizza i messaggi email), tcpkill (tool che termina le connessioni tcp nella rete locale), tcpnice (applicazione che obbliga le altre connessioni a ridurre il consumo di banda, per favorire le proprie connessioni) ed infine webspy (software che cattura e visualizza in real time la navigazione web della vittima).

Zodiac[modifica | modifica wikitesto]

Zodiac è un programma che analizza il protocollo DNS. Permette di osservare il traffico in rete, analizzando il modo in cui sono assemblati e disassemblati i pacchetti. Il software offre, a chi non è esperto del settore strumenti per:

vedere come funziona il protocollo DNS
fare dello spoofing senza dover scrivere delle routine di modifica o filtri per pacchetti

Le sue caratteristiche sono le seguenti^[6]:

Possibilità di intercettare qualsiasi tipo di dispositivo configurato (Ethernet, PPP, ecc.)
Possibilità di catturare e decodificare quasi tutti i tipi di pacchetti DNS, inclusi i pacchetti decompressi
Interfaccia testuale con comandi interattivi e finestre multiple
La struttura threaded permette più flessibilità quando si aggiungono nuove funzionalità
Il codice è pulito, commentato e testato benissimo, ciò ne semplifica l'estensione
il sistema che filtra i pacchetti DNS permette l'installazione di pseudo filtri DNS selezionabili da una vasta gamma di primitive di costruzione di pacchetti DNS
Possibilità di visualizzare la versione del DNS name server utilizzando richieste di tipo BIND
DNS spoofing, rispondendo alle query DNS su rete LAN prima del Name Server remoto (fruttando la race condition)
DNS spoofing con jizz, sfruttando le debolezze in vecchie versioni di BIND.
DNS ID spoofing, sfruttando le debolezze del protocollo DNS.

Note[modifica | modifica wikitesto]

^ ^a ^b ^c ^d Antonio Guzzo, L’attacco del tipo “Man in the middle”. (PDF), su diritto.it.
^ In telecomunicazioni ed informatica il full-duplex è una modalità di invio e ricezione di informazioni digitali o analogiche, con funzione completamente bidirezionale.
^ ^a ^b ^c DNS cache poisoning e Bind (PDF), su ucci.it.
^ DNS cache poisoning | Articoli Sicurezza | Sicurezza.HTML.it, su web.archive.org, 25 agosto 2010. URL consultato il 12 settembre 2020 (archiviato dall'url originale il 25 agosto 2010).
^ Patrick Assirelli e Matteo Battaglia, Attacchi login: Spoofing,Sniffing, Phishing, Keyloggers (PDF), su cs.unibo.it.
^ (EN) Darknet, Zodiac - DNS Protocol Monitoring and Spoofing Tool - Darknet, su darknet.org.uk, 18 luglio 2008. URL consultato il 12 settembre 2020.

Bibliografia[modifica | modifica wikitesto]

Cricket Liu e Paul Albitz, DNS and BIND, O'Reilly, 2006, ISBN 2-84177-409-0, OCLC 421777651.

Voci correlate[modifica | modifica wikitesto]

Collegamenti esterni[modifica | modifica wikitesto]

Portale Crittografia

Portale Informatica

Portale Sicurezza informatica

[:0-1] Antonio Guzzo, L’attacco del tipo “Man in the middle”. (PDF), su diritto.it.

[2] In telecomunicazioni ed informatica il full-duplex è una modalità di invio e ricezione di informazioni digitali o analogiche, con funzione completamente bidirezionale.

[:1-3] DNS cache poisoning e Bind (PDF), su ucci.it.

[4] DNS cache poisoning | Articoli Sicurezza | Sicurezza.HTML.it, su web.archive.org, 25 agosto 2010. URL consultato il 12 settembre 2020 (archiviato dall'url originale il 25 agosto 2010).

[5] Patrick Assirelli e Matteo Battaglia, Attacchi login: Spoofing,Sniffing, Phishing, Keyloggers (PDF), su cs.unibo.it.

[6] (EN) Darknet, Zodiac - DNS Protocol Monitoring and Spoofing Tool - Darknet, su darknet.org.uk, 18 luglio 2008. URL consultato il 12 settembre 2020.

[1]

[2]

[3]

[4]

[5]

[6]