it-swarm.dev

Spoofing DNS vs avvelenamento da cache DNS

Qual è la differenza tra DNS Spoofing e DNS Cache Poisoning ???

Sembra che ci siano piccole differenze tra due attacchi, con l'eccezione che il server DNS potrebbe effettivamente memorizzare nella cache la risposta "falsa" dal server DNS dannoso.

11
newprint

Nonostante ciò che Wikipedia può dire, non sono gli stessi. In parole povere, l'avvelenamento da cache DNS è un modo per eseguire lo spoofing DNS, ma ci sono anche altri modi per farlo.

Lo spoofing DNS si riferisce all'ampia categoria di attacchi che falsificano i record DNS. È una categoria di attacchi (un obiettivo finale dell'attacco, piuttosto che un particolare meccanismo di attacco). Esistono diversi modi per eseguire lo spoofing DNS: compromettere un server DNS, montare un attacco avvelenamento da cache DNS (come attacco Kaminsky contro un server vulnerabile), montare un attacco man-in-the-middle (se riesci ad accedere alla rete), indovina un numero di sequenza (magari facendo molte richieste), sii una stazione di base falsa e menti sul server DNS da usare, e probabilmente molti altri.

L'avvelenamento da cache DNS è un modo per eseguire lo spoofing DNS. L'avvelenamento da cache DNS si riferisce al seguente scenario: molti utenti finali utilizzano la stessa cache DNS e un utente malintenzionato riesce a iniettare una voce DNS falsa in quella cache. Ad esempio, molti ISP eseguiranno un server DNS di cache e provvederanno affinché i loro clienti (gli utenti finali) provino prima tutti i server dell'ISP. Se un utente malintenzionato riesce a trovare un modo per fare in modo che il server DNS di cache memorizzi nella cache un record errato, l'attaccante è impostato: è riuscito a falsificare con successo i record DNS e influire su tutti gli utenti finali che fanno affidamento su tale cache.

In che modo un utente malintenzionato riesce ad avvelenare una cache DNS? Bene, un modo comune è montare un attacco di spoofing DNS sulla richiesta DNS dalla cache al server DNS finale. Sì, mi rendo conto che questo diventa un po 'ricorsivo. :-) Fondamentalmente, usi qualsiasi attacco di spoofing DNS per fare in modo che la cache accetti un record di spoofing (qui puoi usare qualsiasi attacco di spoofing DNS che puoi). Successivamente, il risultato è che la cache memorizzerà nella cache quel record fasullo, e di conseguenza molti utenti finali ora accetteranno anche quel record contraffatto.

15
D.W.