Una delle funzioni di un server DNS è quello di tradurre un nome di dominio in un indirizzo IP che le applicazioni hanno bisogno di connettersi a una risorsa Internet come un sito web. Questa funzionalità è definita in vari standard Internet formali che definiscono il protocollo in modo considerevole dettaglio. I server DNS sono implicitamente attendibili dai computer e dagli utenti che si affacciano su Internet per risolvere correttamente i nomi agli indirizzi effettivi registrati dai proprietari di un dominio Internet.

Server DNS canaglia

Un server DNS canaglia traduce i nomi di dominio di siti web desiderabili (motori di ricerca, banche, broker, ecc.) in indirizzi IP di siti con contenuti non intenzionali, anche siti web dannosi. La maggior parte degli utenti dipende dai server DNS assegnati automaticamente dai loro ISP. I computer zombie utilizzano trojan che cambiano DNS per passare in modo invisibile l’assegnazione automatica del server DNS da parte dell’ISP all’assegnazione manuale del server DNS da server DNS canaglia. I server DNS assegnati a un router possono anche essere modificati attraverso lo sfruttamento remoto di una vulnerabilità all’interno del firmware del router. Quando gli utenti tentano di visitare siti web, vengono invece inviati a un sito web fasullo. Questo attacco è chiamato pharming. Se il sito a cui vengono reindirizzati è un sito Web dannoso, mascherato da un sito Web legittimo, al fine di ottenere in modo fraudolento informazioni sensibili, si chiama phishing.

Manipolazione ISPsEdit

Un certo numero di consumatori provider come AT&T, Cablevision Ottimale Online, CenturyLink, Cox Communications, RCN, Rogers, Charter Communications (Spettro), Plusnet, Verizon, Sprint, T-Mobile USA, Virgin Media, Frontier Communications, Campana Sympatico, Deutsche Telekom AG, Optus, Mediacom, ONO, TalkTalk, Bigpond (Telstra), TTNET, Türksat, e Telkom Indonesia uso o utilizzati DNS hijacking per i loro scopi, come ad esempio la visualizzazione di annunci pubblicitari o per la raccolta di statistiche. Gli ISP olandesi XS4ALL e Ziggo usano il dirottamento DNS per ordine del tribunale: è stato ordinato loro di bloccare l’accesso a The Pirate Bay e visualizzare invece una pagina di avviso. Queste pratiche violano lo standard RFC per le risposte DNS (NXDOMAIN) e possono potenzialmente aprire gli utenti ad attacchi di scripting cross-site.

La preoccupazione per il dirottamento DNS comporta questo dirottamento della risposta NXDOMAIN. Le applicazioni Internet e intranet si basano sulla risposta NXDOMAIN per descrivere la condizione in cui il DNS non ha alcuna voce per l’host specificato. Se si dovesse interrogare il nome di dominio non valido (ad esempio www.esempio.non valido), si dovrebbe ottenere una risposta NXDOMAIN-informare l’applicazione che il nome non è valido e intraprendere l’azione appropriata (ad esempio, visualizzare un errore o non tentare di connettersi al server). Tuttavia, se il nome di dominio viene interrogato su uno di questi ISP non conformi, si riceverà sempre un indirizzo IP falso appartenente all’ISP. In un browser Web, questo comportamento può essere fastidioso o offensivo in quanto le connessioni a questo indirizzo IP visualizzano la pagina di reindirizzamento ISP del provider, a volte con pubblicità, invece di un messaggio di errore corretto. Tuttavia, altre applicazioni che si basano sull’errore NXDOMAIN tenteranno invece di avviare connessioni a questo indirizzo IP falsificato, esponendo potenzialmente informazioni sensibili.

Esempi di funzionalità che si rompe quando un ISP dirotta DNS:

  • Roaming computer portatili che sono membri di un dominio di Windows Server sarà falsamente di essere portato a credere che sono indietro di una rete aziendale, perché le risorse come i controller di dominio, server di posta e di altre infrastrutture sembra essere disponibile. Le applicazioni tenteranno quindi di avviare le connessioni a questi server aziendali, ma falliscono, con conseguente riduzione delle prestazioni, traffico non necessario sulla connessione Internet e timeout.
  • Molti piccoli uffici e reti domestiche non hanno il proprio server DNS, basandosi invece sulla risoluzione dei nomi broadcast. Molte versioni di Microsoft Windows predefinite per dare priorità alla risoluzione dei nomi DNS sopra le trasmissioni di risoluzione dei nomi NetBIOS; pertanto, quando un server DNS ISP restituisce un indirizzo IP (tecnicamente valido) per il nome del computer desiderato sulla LAN, il computer di connessione utilizza questo indirizzo IP errato e inevitabilmente non riesce a connettersi al computer desiderato sulla LAN. Le soluzioni alternative includono l’utilizzo dell’indirizzo IP corretto anziché del nome del computer o la modifica del valore del registro di sistema DhcpNodeType per modificare l’ordine del servizio di risoluzione dei nomi.
  • I browser come Firefox non hanno più la funzionalità “Sfoglia per nome” (in cui le parole chiave digitate nella barra degli indirizzi portano gli utenti al sito di corrispondenza più vicino).
  • Il client DNS locale integrato nei sistemi operativi moderni memorizzerà nella cache i risultati delle ricerche DNS per motivi di prestazioni. Se un client passa da una rete domestica a una VPN, le voci false potrebbero rimanere memorizzate nella cache, creando così un’interruzione del servizio sulla connessione VPN.
  • Le soluzioni anti-spam DNSBL si basano su DNS; i risultati DNS falsi interferiscono quindi con il loro funzionamento.
  • I dati riservati degli utenti potrebbero essere trapelati da applicazioni che vengono ingannate dall’ISP nel credere che i server a cui desiderano connettersi siano disponibili.
  • La scelta dell’utente su quale motore di ricerca consultare in caso di errori di digitazione di un URL in un browser viene rimossa poiché l’ISP determina quali risultati di ricerca vengono visualizzati all’utente.
  • I computer configurati per utilizzare un tunnel diviso con una connessione VPN smetteranno di funzionare perché i nomi intranet che non dovrebbero essere risolti al di fuori del tunnel su Internet pubblico inizieranno a risolversi in indirizzi fittizi, invece di risolverli correttamente sul tunnel VPN su un server DNS privato quando viene ricevuta una risposta NXDOMAIN da Internet. Ad esempio, un client di posta che tenta di risolvere il record DNS A per un server di posta interno potrebbe ricevere una risposta DNS falsa che lo indirizza a un server Web con risultati a pagamento, con messaggi in coda per la consegna per giorni mentre la ritrasmissione è stata tentata invano.
  • Interrompe il Web Proxy Autodiscovery Protocol (WPAD) portando i browser Web a ritenere erroneamente che l’ISP abbia configurato un server proxy.
  • Si rompe software di monitoraggio. Ad esempio, se si contatta periodicamente un server per determinarne l’integrità, un monitor non vedrà mai un errore a meno che il monitor non tenti di verificare la chiave crittografica del server.

In alcuni, ma non nella maggior parte dei casi, gli ISP forniscono impostazioni configurabili per gli abbonati per disabilitare il dirottamento delle risposte NXDOMAIN. Implementata correttamente, tale impostazione ripristina il DNS al comportamento standard. Altri ISP, invece, utilizzano un cookie del browser web per memorizzare le preferenze. In questo caso, il comportamento sottostante non viene risolto: Le query DNS continuano a essere reindirizzate, mentre la pagina di reindirizzamento ISP viene sostituita con una pagina di errore DNS contraffatta. Le applicazioni diverse dai browser Web non possono essere disattivate dallo schema utilizzando i cookie poiché l’opt-out riguarda solo il protocollo HTTP, quando lo schema è effettivamente implementato nel sistema DNS neutro dal protocollo.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.