Di recente (neanche tanto a dire il vero) è stato resa nota una falla di molti dns che permette, tramite un attacco di dns poisoning, di manomettere i nomi host utlizzati da molti dns server sul pianeta.
Per fare un esempio pratico, ipotizziamo di voler aprire un sito come www.l.google.com che ha un indirizzo ip pari a 209.85.135.147, ora quello che fa un potenziale “hacker” non fa altro che sfruttare la falla del dns per fare risolvere www.l.google.com invece che con il suo indirizzo vero con un indirizzo qualunque tipo 127.0.0.1.
Ora per controllare se il proprio dns server è sicuro da questo tipo di problemi ci sono due strade:
1- collegarvi direttamente al sito DoxPara, sulla destra trovete la finestrella “dns checker” non dovrete fare altro che premere il pulsante Check My DNS.
2- oppure tramite linux mediante il comando dig.
Per il secondo punto il comando da lanciare è il seguente:
root@localhost:# dig +short @[your nameserver] porttest.dns-oarc.net txt
dove dovete sostituire [your nameserver] con l’indirizzo ip del dns di cui volete fare il controllo.
Esaminiamo ora i possibili risultati.
Se utilizziamo come dns uno dei dns del servizio OpenDNS otteniamo quanto segue:
root@localhost:# dig +short @208.67.222.222 porttest.dns-oarc.net txt
porttest.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
"208.69.34.8 is GREAT: 26 queries in 4.1 seconds from 26 ports with std dev 15951"
se vedete scritta nell’ultima riga GREAT allora il dns è ok ed è stato correttamente patchato.
Nel caso contrario invece utilizzando uno dei dns Telecom STRANAMENTE, i dns non sono patchati e quindi vulnerabili a questo tipo di attacchi
root@localhost:# dig +short @151.99.125.1 porttest.dns-oarc.net txt
porttest.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
"82.53.187.212 is POOR: 26 queries in 4.8 seconds from 1 ports with std dev 0"
come vedete questa volta nell’ultima riga trovate scritto POOR che indica che il dns non è correttamente aggiornato e quindi vulnerabile.
Su windows il comando è il seguente da lanciare da una console del DOS:
nslookup -querytype=TXT porttest.dns-oarc.net. ns1.nucleus.be
Saluti
Matteo
beh, la guida è interessante… l’ho provata sui dns di alice che uso e mi risultano “GREAT”.
) però alla fine il loro lavoro lo hanno fatto…
magari sono stati un po’ lentini nel “pacciarli” (to patch them
grazie ancora per la guida
Slan
Stranamente la versione di bind di Debian Woody non è patchata
Fortuna che la uso solo in lan e che non è aperta al mondo, valà…
Quella di Ubuntu 6.04 (la penultima LTS) è invece a posto, pare che il supporto lungo funzioni come si deve
Anche su ubuntu 8.04 LTS è tutto a posto.
[...] Originale: Il dns server che utilizzi è a prova di “DNS Poisoning Attack … Author: [...]