Il dns server che utilizzi è a prova di “DNS Poisoning Attack” ?


Di recente (neanche tanto a dire il vero) è stato resa nota una falla di molti dns che permette, tramite un attacco di dns poisoning, di manomettere i nomi host utlizzati da molti dns server sul pianeta.

Per fare un esempio pratico, ipotizziamo di voler aprire un sito come www.l.google.com che ha un indirizzo ip pari a 209.85.135.147, ora quello che fa un potenziale “hacker” non fa altro che sfruttare la falla del dns per fare risolvere www.l.google.com invece che con il suo indirizzo vero con un indirizzo qualunque tipo 127.0.0.1.

Ora per controllare se il proprio dns server è sicuro da questo tipo di problemi ci sono due strade:

1- collegarvi direttamente al sito DoxPara, sulla destra trovete la finestrella “dns checker” non dovrete fare altro che premere il pulsante Check My DNS.

2- oppure tramite linux mediante il comando dig.

Per il secondo punto il comando da lanciare è il seguente:

[email protected]:# dig +short @[your nameserver] porttest.dns-oarc.net txt

dove dovete sostituire [your nameserver] con l’indirizzo ip del dns di cui volete fare il controllo.

Esaminiamo ora i possibili risultati.

Se utilizziamo come dns uno dei dns del servizio OpenDNS otteniamo quanto segue:

[email protected]:# dig +short @208.67.222.222 porttest.dns-oarc.net txt
porttest.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
"208.69.34.8 is GREAT: 26 queries in 4.1 seconds from 26 ports with std dev 15951"

se vedete scritta nell’ultima riga GREAT allora il dns è ok ed è stato correttamente patchato.

Nel caso contrario invece utilizzando uno dei dns Telecom STRANAMENTE, i dns non sono patchati e quindi vulnerabili a questo tipo di attacchi

[email protected]:# dig +short @151.99.125.1 porttest.dns-oarc.net txt
porttest.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
"82.53.187.212 is POOR: 26 queries in 4.8 seconds from 1 ports with std dev 0"

come vedete questa volta nell’ultima riga trovate scritto POOR che indica che il dns non è correttamente aggiornato e quindi vulnerabile.

Su windows il comando è il seguente da lanciare da una console del DOS:

nslookup -querytype=TXT porttest.dns-oarc.net. ns1.nucleus.be

Saluti

Matteo


12 risposte a “Il dns server che utilizzi è a prova di “DNS Poisoning Attack” ?”

  1. beh, la guida è interessante… l’ho provata sui dns di alice che uso e mi risultano “GREAT”.
    magari sono stati un po’ lentini nel “pacciarli” (to patch them :-D) però alla fine il loro lavoro lo hanno fatto…
    grazie ancora per la guida
    Slan

  2. Stranamente la versione di bind di Debian Woody non è patchata 😉 Fortuna che la uso solo in lan e che non è aperta al mondo, valà…

    Quella di Ubuntu 6.04 (la penultima LTS) è invece a posto, pare che il supporto lungo funzioni come si deve 😀

  3. Ciao e grazie dell’utile post: mi è appena capitato un DNS poisoning per cui mi hanno chiuso un account,e sono alla ricerca di un nameserver decente per fare domain parking.

    Da mac il comando sopra riportato non restituisce nulla per alcuni NS… cosa vuol dire, che il server non permette queste verifiche o che è particolarmente sicuro?

    Fermo restando che doxpara credo che non esista più…

  4. Ciao!

    Ho testato i name server di Bluehost e di Byethost: in particolare quest’ultimo era fallato in modo abbastanza grave, tanto che sono stati spinti a rimuovermi forzatamente l’account senza riuscire a risolverlo. Il fatto è che lanciando il comando che hai scritto dal mio Mac su questi due name server non viene restituito nulla, e mi chiedevo come interpretare questo fatto.

    PS: Doxpara.com è il sito che conteneva un DNS checker adatto al caso, ma che ora credo non sia più attivo.

  5. Sinceramente io ti consiglio di utilizzare i dns di porgeva o di google se un provider come bluehost ha i dns insicuri questo ne dice molto anche sugli altri servizi che eroga

  6. Mi sono espresso male, la falla in realtà era solo su Byethost, su Bluehost volevo solo testarlo e francamente non ho capito se il rischio ci sia o meno. Comunque considera che Byethost ha perso molto con questa cosa perchè avendo l’hosting shared TUTTI (e sottolineo tutti) i siti sotto di loro sono a rischio poisoning. Facile dare servizi gratis quando poi li danno così, non trovi?

    Ma si puo’ utilizzare il NS di openDNS per un hosting, che tu sappia/secondo te? Oppure quelli di Google o Tiscali? In pratica utilizzare questi NS sicuri per i miei siti “orfani”, avendo già nome di dominio e tutto?

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Per postare il commento, risolvi il quesito sottostante * Time limit is exhausted. Please reload CAPTCHA.

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.