Di recente (neanche tanto a dire il vero) è stato resa nota una falla di molti dns che permette, tramite un attacco di dns poisoning, di manomettere i nomi host utlizzati da molti dns server sul pianeta.
Per fare un esempio pratico, ipotizziamo di voler aprire un sito come www.l.google.com che ha un indirizzo ip pari a 209.85.135.147, ora quello che fa un potenziale “hacker” non fa altro che sfruttare la falla del dns per fare risolvere www.l.google.com invece che con il suo indirizzo vero con un indirizzo qualunque tipo 127.0.0.1.
Ora per controllare se il proprio dns server è sicuro da questo tipo di problemi ci sono due strade:
1- collegarvi direttamente al sito DoxPara, sulla destra trovete la finestrella “dns checker” non dovrete fare altro che premere il pulsante Check My DNS.
2- oppure tramite linux mediante il comando dig.
Per il secondo punto il comando da lanciare è il seguente:
[email protected]:# dig +short @[your nameserver] porttest.dns-oarc.net txt
dove dovete sostituire [your nameserver] con l’indirizzo ip del dns di cui volete fare il controllo.
Esaminiamo ora i possibili risultati.
Se utilizziamo come dns uno dei dns del servizio OpenDNS otteniamo quanto segue:
[email protected]:# dig +short @208.67.222.222 porttest.dns-oarc.net txt
porttest.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
"208.69.34.8 is GREAT: 26 queries in 4.1 seconds from 26 ports with std dev 15951"
se vedete scritta nell’ultima riga GREAT allora il dns è ok ed è stato correttamente patchato.
Nel caso contrario invece utilizzando uno dei dns Telecom STRANAMENTE, i dns non sono patchati e quindi vulnerabili a questo tipo di attacchi
[email protected]:# dig +short @151.99.125.1 porttest.dns-oarc.net txt
porttest.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
"82.53.187.212 is POOR: 26 queries in 4.8 seconds from 1 ports with std dev 0"
come vedete questa volta nell’ultima riga trovate scritto POOR che indica che il dns non è correttamente aggiornato e quindi vulnerabile.
Su windows il comando è il seguente da lanciare da una console del DOS:
nslookup -querytype=TXT porttest.dns-oarc.net. ns1.nucleus.be
Saluti
Matteo
12 risposte a “Il dns server che utilizzi è a prova di “DNS Poisoning Attack” ?”
[…] Originale: Il dns server che utilizzi è a prova di “DNS Poisoning Attack … Author: […]
beh, la guida è interessante… l’ho provata sui dns di alice che uso e mi risultano “GREAT”.
magari sono stati un po’ lentini nel “pacciarli” (to patch them :-D) però alla fine il loro lavoro lo hanno fatto…
grazie ancora per la guida
Slan
Stranamente la versione di bind di Debian Woody non è patchata 😉 Fortuna che la uso solo in lan e che non è aperta al mondo, valà…
Quella di Ubuntu 6.04 (la penultima LTS) è invece a posto, pare che il supporto lungo funzioni come si deve 😀
Anche su ubuntu 8.04 LTS è tutto a posto.
Ciao e grazie dell’utile post: mi è appena capitato un DNS poisoning per cui mi hanno chiuso un account,e sono alla ricerca di un nameserver decente per fare domain parking.
Da mac il comando sopra riportato non restituisce nulla per alcuni NS… cosa vuol dire, che il server non permette queste verifiche o che è particolarmente sicuro?
Fermo restando che doxpara credo che non esista più…
Su che dns hai fatto la prova?
Doxpara cos’è un provider affondato? Saluti
Ciao!
Ho testato i name server di Bluehost e di Byethost: in particolare quest’ultimo era fallato in modo abbastanza grave, tanto che sono stati spinti a rimuovermi forzatamente l’account senza riuscire a risolverlo. Il fatto è che lanciando il comando che hai scritto dal mio Mac su questi due name server non viene restituito nulla, e mi chiedevo come interpretare questo fatto.
PS: Doxpara.com è il sito che conteneva un DNS checker adatto al caso, ma che ora credo non sia più attivo.
Dimenticavo: i NS in questione sono
ns1.byet.org,
ns3.byet.org,
ns4.byet.org,
ns3.byet.org
In particolare qui dovresti poter vedere l’avvelenamento in corrispondenza del sesto hop:
http://network-tools.com/default.asp?prog=express&host=ns1.byet.org
E poi:
ns1.bluehost.com – 74.220.195.31
ns2.bluehost.com – 69.89.16.4
Sinceramente io ti consiglio di utilizzare i dns di porgeva o di google se un provider come bluehost ha i dns insicuri questo ne dice molto anche sugli altri servizi che eroga
Porgeva = opendns maledetto correttore automatico
Mi sono espresso male, la falla in realtà era solo su Byethost, su Bluehost volevo solo testarlo e francamente non ho capito se il rischio ci sia o meno. Comunque considera che Byethost ha perso molto con questa cosa perchè avendo l’hosting shared TUTTI (e sottolineo tutti) i siti sotto di loro sono a rischio poisoning. Facile dare servizi gratis quando poi li danno così, non trovi?
Ma si puo’ utilizzare il NS di openDNS per un hosting, che tu sappia/secondo te? Oppure quelli di Google o Tiscali? In pratica utilizzare questi NS sicuri per i miei siti “orfani”, avendo già nome di dominio e tutto?
Ciao di nuovo, per la cronaca http://www.everydns.com si appoggia a Open DNS e dovrebbe essere sicuro.