DNS attack

Un attacco DNS è un exploit in cui un attaccante sfrutta le vulnerabilità del sistema dei nomi di dominio (DNS).

Per capire come funzionano gli attacchi DNS, è importante prima capire come funziona il sistema dei nomi di dominio. Il DNS è un protocollo che traduce un nome di dominio user-friendly, come WhatIs.com, nell’indirizzo IP 206.19.49.154.

Quando un utente finale digita il nome di dominio people-friendly WhatIs.com nel browser di un client, un programma nel sistema operativo del client chiamato resolver DNS cerca l’indirizzo IP numerico di WhatIs.com. Per prima cosa, il resolver DNS controlla la propria cache locale per vedere se ha già l’indirizzo IP di WhatIs.com. Se non ha l’indirizzo, il resolver interroga un server DNS per vedere se conosce l’indirizzo IP corretto di WhatIs.com. I server DNS sono ricorsivi, il che significa semplicemente che possono interrogarsi a vicenda per trovare un altro server DNS che conosce l’indirizzo IP corretto o trovare il server DNS autoritativo che memorizza la mappatura canonica del nome di dominio WhatIs.com al suo indirizzo IP. Non appena il resolver individua l’indirizzo IP, restituisce l’indirizzo IP al programma richiedente e lo memorizza nella cache per usi futuri.

Anche se il DNS è abbastanza robusto, è stato progettato per l’usabilità, non per la sicurezza, e i tipi di attacchi DNS in uso oggi sono numerosi e abbastanza complessi, approfittando della comunicazione avanti e indietro tra client e server. In genere, gli aggressori sfruttano la comunicazione in chiaro tra i client e i tre tipi di server DNS. Un’altra strategia di attacco popolare è quella di accedere al sito web di un provider DNS con credenziali rubate e reindirizzare i record DNS.

Per diminuire la possibilità di un attacco DNS, gli amministratori di server dovrebbero utilizzare l’ultima versione del software DNS, monitorare costantemente il traffico e configurare i server per duplicare, separare e isolare le varie funzioni DNS. Per difendersi dagli attacchi DNS, gli esperti raccomandano di implementare l’autenticazione a più fattori quando si apportano modifiche all’infrastruttura DNS dell’organizzazione. Il personale operativo dovrebbe anche monitorare qualsiasi cambiamento pubblicamente associato ai propri record DNS o a qualsiasi certificato digitale associato alla propria organizzazione. Un’altra strategia è quella di implementare Domain Name System Security Extensions (DNSSEC), che rafforza l’autenticazione in DNS utilizzando firme digitali basate sulla crittografia a chiave pubblica.

Vettori di attacco DNS

I tipi di attacchi DNS includono:

Attacco zero day – l’attaccante sfrutta una vulnerabilità precedentemente sconosciuta nello stack del protocollo DNS o nel software del server DNS.

Avvelenamento della cache – l’attaccante corrompe un server DSN sostituendo un indirizzo IP legittimo nella cache del server con quello di un altro indirizzo canaglia, al fine di reindirizzare il traffico a un sito web dannoso, raccogliere informazioni o avviare un altro attacco. L’avvelenamento della cache può anche essere indicato come avvelenamento del DNS.

Denial of Service – un attacco in cui un bot maligno invia più traffico a un indirizzo IP mirato di quanto i programmatori che hanno pianificato i suoi buffer di dati abbiano previsto che qualcuno potesse inviare. Il bersaglio diventa incapace di risolvere richieste legittime.

Distributed Denial of Service – l’attaccante usa una botnet per generare massicce quantità di richieste di risoluzione a un indirizzo IP mirato.

Amplificazione DNS – l’attaccante approfitta di un server DNS che permette ricerche ricorsive e usa la ricorsione per diffondere il suo attacco ad altri server DNS.

Fast-flux DNS – l’attaccante scambia record DNS dentro e fuori con estrema frequenza al fine di reindirizzare le richieste DNS ed evitare il rilevamento.