Hacking etico: avvelenamento da DNS

Il DNS Poisoning è una tecnica che induce un server DNS a credere di aver ricevuto informazioni autentiche quando, in realtà, non le ha. Risulta nella sostituzione di un falso indirizzo IP a livello DNS in cui gli indirizzi web vengono convertiti in indirizzi IP numerici. Consente a un utente malintenzionato di sostituire le voci dell'indirizzo IP per un sito di destinazione su un determinato server DNS con l'indirizzo IP dei controlli del server. Un utente malintenzionato può creare false voci DNS per il server che potrebbero contenere contenuti dannosi con lo stesso nome.

Ad esempio, un utente digita www.google.com, ma l'utente viene inviato a un altro sito fraudolento invece di essere indirizzato ai server di Google. Come capiamo, l'avvelenamento DNS viene utilizzato per reindirizzare gli utenti a pagine false gestite dagli aggressori.

Avvelenamento da DNS - Esercizio

Facciamo un esercizio sull'avvelenamento da DNS usando lo stesso strumento, Ettercap.

L'avvelenamento DNS è abbastanza simile all'avvelenamento ARP. Per avviare l'avvelenamento da DNS, devi iniziare con l'avvelenamento da ARP, di cui abbiamo già discusso nel capitolo precedente. Noi useremoDNS spoof plugin che è già presente in Ettercap.

Step 1- Apri il terminale e digita "nano etter.dns". Questo file contiene tutte le voci per gli indirizzi DNS utilizzati da Ettercap per risolvere gli indirizzi dei nomi di dominio. In questo file, aggiungeremo una falsa voce di "Facebook". Se qualcuno vuole aprire Facebook, verrà reindirizzato a un altro sito web.

Step 2- Ora inserisci le voci sotto le parole "Reindirizzalo a www.linux.org". Vedere il seguente esempio:

Step 3- Ora salva questo file ed esci salvando il file. Usa "ctrl + x" per salvare il file.

Step 4- Dopo questo, l'intero processo è lo stesso per avviare l'avvelenamento da ARP. Dopo aver avviato l'avvelenamento ARP, fare clic su "plugins" nella barra dei menu e selezionare il plug-in "dns_spoof".

Step 5 - Dopo aver attivato DNS_spoof, vedrai nei risultati che facebook.com inizierà lo spoofing sull'IP di Google ogni volta che qualcuno lo digita nel suo browser.

Significa che l'utente ottiene la pagina di Google invece di facebook.com sul proprio browser.

In questo esercizio abbiamo visto come il traffico di rete può essere rilevato tramite diversi strumenti e metodi. In questo caso un'azienda ha bisogno di un hacker etico per fornire sicurezza di rete per fermare tutti questi attacchi. Vediamo cosa può fare un hacker etico per prevenire il DNS Poisoning.

Difese contro l'avvelenamento da DNS

In quanto hacker etico, il tuo lavoro potrebbe molto probabilmente metterti in una posizione di prevenzione piuttosto che di test di penna. Ciò che conosci come aggressore può aiutarti a prevenire le stesse tecniche che impieghi dall'esterno.

Ecco le difese contro gli attacchi che abbiamo appena coperto dal punto di vista di un pen tester:

  • Utilizzare una rete con commutazione hardware per le parti più sensibili della rete nel tentativo di isolare il traffico in un singolo segmento o dominio di collisione.

  • Implementa lo snooping DHCP IP sugli switch per prevenire attacchi di avvelenamento e spoofing ARP.

  • Implementare criteri per impedire la modalità promiscua sugli adattatori di rete.

  • Fare attenzione quando si distribuiscono punti di accesso wireless, sapendo che tutto il traffico sulla rete wireless è soggetto a sniffing.

  • Crittografa il tuo traffico sensibile utilizzando un protocollo di crittografia come SSH o IPsec.

  • La sicurezza della porta viene utilizzata dagli switch che possono essere programmati per consentire solo a indirizzi MAC specifici di inviare e ricevere dati su ciascuna porta.

  • IPv6 ha vantaggi e opzioni di sicurezza che IPv4 non ha.

  • La sostituzione di protocolli come FTP e Telnet con SSH è una difesa efficace contro lo sniffing. Se SSH non è una soluzione praticabile, prendi in considerazione la protezione dei protocolli legacy meno recenti con IPsec.

  • Le reti private virtuali (VPN) possono fornire una difesa efficace contro lo sniffing grazie al loro aspetto crittografico.

  • SSL è un'ottima difesa insieme a IPsec.

Sommario

In questo capitolo abbiamo discusso di come gli aggressori possono catturare e analizzare tutto il traffico inserendo uno sniffer di pacchetti in una rete. Con un esempio in tempo reale, abbiamo visto quanto sia facile ottenere le credenziali di una vittima da una data rete. Gli aggressori utilizzano attacchi MAC, ARP e attacchi di avvelenamento DNS per rilevare il traffico di rete e ottenere informazioni sensibili come conversazioni e-mail e password.