12th gennaio 2009

Il dns server che utilizzi è a prova di “DNS Poisoning Attack” ?

posted in DNS, Domain Name System, howto, linux, networking, server, sicurezza, telecom |

Di recente (neanche tanto a dire il vero) è stato resa nota una falla di molti dns che permette, tramite un attacco di dns poisoning, di manomettere i nomi host utlizzati da molti dns server sul pianeta.

Per fare un esempio pratico, ipotizziamo di voler aprire un sito come www.l.google.com che ha un indirizzo ip pari a 209.85.135.147, ora quello che fa un potenziale “hacker” non fa altro che sfruttare la falla del dns per fare risolvere www.l.google.com invece che con il suo indirizzo vero con un indirizzo qualunque tipo 127.0.0.1.

Ora per controllare se il proprio dns server è sicuro da questo tipo di problemi ci sono due strade:

1- collegarvi direttamente al sito DoxPara, sulla destra trovete la finestrella “dns checker” non dovrete fare altro che premere il pulsante Check My DNS.

2- oppure tramite linux mediante il comando dig.

Per il secondo punto il comando da lanciare è il seguente:

root@localhost:# dig +short @[your nameserver] porttest.dns-oarc.net txt

dove dovete sostituire [your nameserver] con l’indirizzo ip del dns di cui volete fare il controllo.

Esaminiamo ora i possibili risultati.

Se utilizziamo come dns uno dei dns del servizio OpenDNS otteniamo quanto segue:

root@localhost:# dig +short @208.67.222.222 porttest.dns-oarc.net txt
porttest.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
"208.69.34.8 is GREAT: 26 queries in 4.1 seconds from 26 ports with std dev 15951"

se vedete scritta nell’ultima riga GREAT allora il dns è ok ed è stato correttamente patchato.

Nel caso contrario invece utilizzando uno dei dns Telecom STRANAMENTE, i dns non sono patchati e quindi vulnerabili a questo tipo di attacchi

root@localhost:# dig +short @151.99.125.1 porttest.dns-oarc.net txt
porttest.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
"82.53.187.212 is POOR: 26 queries in 4.8 seconds from 1 ports with std dev 0"

come vedete questa volta nell’ultima riga trovate scritto POOR che indica che il dns non è correttamente aggiornato e quindi vulnerabile.

Su windows il comando è il seguente da lanciare da una console del DOS:

nslookup -querytype=TXT porttest.dns-oarc.net. ns1.nucleus.be

Saluti

Matteo

This entry was posted on lunedì, gennaio 12th, 2009 at 2:17 pm and is filed under DNS, Domain Name System, howto, linux, networking, server, sicurezza, telecom. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.

There are currently 4 responses to “Il dns server che utilizzi è a prova di “DNS Poisoning Attack” ?”

Why not let us know what you think by adding your own comment! Your opinion is as valid as anyone elses, so come on... let us know what you think.

  1. 1 On gennaio 12th, 2009, Il dns server che utilizzi è a prova di “DNS Poisoning Attack … said:

    [...] Originale: Il dns server che utilizzi è a prova di “DNS Poisoning Attack … Author: [...]

  2. 2 On gennaio 13th, 2009, Mondonaua said:

    beh, la guida è interessante… l’ho provata sui dns di alice che uso e mi risultano “GREAT”.
    magari sono stati un po’ lentini nel “pacciarli” (to patch them :-D ) però alla fine il loro lavoro lo hanno fatto…
    grazie ancora per la guida
    Slan

  3. 3 On gennaio 14th, 2009, Matteo said:

    Stranamente la versione di bind di Debian Woody non è patchata ;) Fortuna che la uso solo in lan e che non è aperta al mondo, valà…

    Quella di Ubuntu 6.04 (la penultima LTS) è invece a posto, pare che il supporto lungo funzioni come si deve :D

  4. 4 On gennaio 18th, 2009, admin said:

    Anche su ubuntu 8.04 LTS è tutto a posto.

Leave a Reply

  • Etichette

  • Statistiche