Che cos'è un attacco di dirottamento DNS e come prevenirlo

Il DNS(DNS) è importante per risolvere gli URL(URLs) che inserisci nella barra degli indirizzi del tuo browser. Molto lavoro è dedicato alla risoluzione dei nomi di dominio(Domain Name Resolution) . È una sorta di operazione ricorsiva che aiuta il tuo browser a ottenere l'indirizzo IP del sito web che stai cercando di raggiungere. Se sei interessato, puoi leggere di più su Ricerca DNS e server(DNS Lookup and Servers) .

Il termine cache DNS(DNS Cache) si riferisce alla cache locale che contiene gli indirizzi IP risolti dei siti Web che frequenti. L'idea di DNS Cache è di risparmiare tempo che altrimenti verrebbe speso per contattare i server DNS che avvierebbero una serie di operazioni ricorsive per scoprire l'indirizzo IP effettivo dell'URL(URL) che devi raggiungere. Ma questa cache può essere avvelenata dai criminali informatici semplicemente modificando le voci nella cache DNS in falsi indirizzi IP per i siti Web che utilizzi.

dirottamento DNS

Che cos'è il dirottamento DNS

Come suggerisce il nome, DNS Hijacking o Redirection è un metodo utilizzato dai criminali informatici per dirottare il tentativo del tuo browser di risolvere l'indirizzo IP del sito Web che desideri caricare. Per facilità d'uso, gli URL(URLs) che utilizziamo sono in formato testo. Per ogni URL è presente un indirizzo IP e una serie di operazioni consente di convertire l' URL di testo in un indirizzo IP numerico. Poiché ci sono molte operazioni coinvolte nella risoluzione dell'indirizzo IP, i criminali informatici possono sfruttare il ritardo e inviare al tuo computer un indirizzo IP falso che appartiene a loro.

Il metodo più comune per il dirottamento DNS(common method for DNS Hijacking) è installare malware sul tuo computer che modifichi il DNS in modo che ogni volta che il tuo browser tenta di risolvere un URL , contatti uno dei falsi server DNS invece dei veri server DNS utilizzati da ICANN (autorità di Internet che è responsabile della registrazione dei domini, della loro gestione, della fornitura di indirizzi IP, del mantenimento degli indirizzi di contatto e altro). I server DNS(DNS) diretti contattati dal tuo computer sono i server DNS gestiti dal tuo provider di servizi Internet –(Internet Service Provider –)a meno che tu non li abbia cambiati in qualcos'altro. Quando viene acquistata una connessione Internet, i server DNS in uso sono (DNS)dell'ISP,(ISP –) riconosciuto da ICANN .

Il malware sul tuo computer modifica il DNS predefinito considerato attendibile dal tuo computer per puntare a un altro indirizzo IP. In questo modo, quando il tuo browser tenta di risolvere un indirizzo IP, il tuo computer contatta un server DNS falso che ti fornisce l'indirizzo IP sbagliato. Ciò fa sì che il tuo browser carichi un sito Web dannoso che potrebbe compromettere il tuo computer o rubare le tue credenziali, ecc.

Dirottamento(DNS Hijacking) DNS e avvelenamento della cache DNS(DNS Cache)

Sebbene entrambi avvengano a livello locale, le loro origini provengono da falsi server DNS . Mentre il dirottamento DNS coinvolge malware(DNS hijacking involves malware) , l'avvelenamento della cache DNS comporta la sovrascrittura della cache DNS locale con valori falsi(DNS Cache poisoning involves overwriting your local DNS cache with fake values) che reindirizzano il browser a siti Web dannosi. L'avvelenamento della cache DNS o lo spoofing(DNS Cache Poisoning or Spoofing) comporta tecniche come il bombardamento di indirizzi IP falsi che il tuo computer raccoglie mentre i server DNS originali sono ancora impegnati a risolvere l' URL . Cioè, nel tempo impiegato dai server DNS autentici per risolvere un URL , i criminali informatici inviano molte risposte che identificano l' URL con indirizzi IP falsi.

Ad esempio, digiti thewindowsclub.com nel tuo browser. Nel momento in cui un server DNS(DNS) autentico cerca gli indirizzi, il tuo computer riceve più di una risoluzione che il sito si trova all'indirizzo IP XYZ(XYZ IP) . Questo farà credere al tuo computer che il sito sia su XYZ anche se il server DNS autentico invia l'indirizzo IP autentico perché i server DNS dei criminali informatici hanno inviato molte risposte contenenti un IP falso per thewindowsclub.com .

Questa differenza di tempo viene utilizzata in modo efficace dai criminali informatici che hanno molti server DNS falsi per annotare il tuo computer nella cache di indirizzi IP errati e dannosi. Quindi una delle dieci risoluzioni DNS false inviate dai server (DNS)DNS dei(’ DNS) criminali informatici ha la precedenza su una risoluzione DNS genuina inviata dai server DNS autentici. (DNS)Altri metodi di prevenzione e avvelenamento dalla cache DNS(DNS Cache Poisoning) sono elencati nel collegamento fornito sopra.

Sebbene DNS Cache Poisoning e DNS Hijacking siano usati in modo intercambiabile, c'è una piccola differenza tra loro. Il metodo di avvelenamento della cache DNS(DNS Cache Poisoning) non prevede l'iniezione di malware nel sistema del computer, ma si basa su metodi diversi come quello spiegato sopra in cui i server DNS falsi inviano una risoluzione URL più veloce del server DNS originale e quindi la cache viene avvelenata. Una volta che la cache è avvelenata, quando utilizzi un sito Web infetto, il tuo computer è compromesso. Nel caso di DNS Hijacking , sei già infetto. Un malware cambia il tuo DNS(DNS) predefinitofornitore di servizi a qualcosa che vogliono i criminali informatici. E da lì, controllano le risoluzioni degli URL (ricerche (URL)DNS ) e quindi continuano ad avvelenare la cache DNS .

Come prevenire il dirottamento DNS

Abbiamo già discusso di come prevenire l'avvelenamento da DNS(prevent DNS poisoning) . Per fermare o prevenire il dirottamento DNS(DNS Hijacking) , si consiglia di utilizzare un buon software di sicurezza(good security software) che tenga lontani malware come i cambia DNS . Utilizzo di un buon firewall . Sebbene un firewall basato su hardware sia il migliore, se non lo hai, puoi almeno attivare il firewall del router.

Se pensi di essere già infetto, è meglio eliminare il contenuto del file HOSTS(HOSTS file)  e ripristinare il file Hosts(reset the Hosts File) . Dopo aver fatto ciò, vai avanti e usa l'antimalware che ti aiuta a sbarazzarti di DNS Changer .

Controlla se un cambia DNS ha cambiato il tuo DNS . In tal caso, dovresti modificare le impostazioni DNS(change your DNS settings) . Puoi verificarlo automaticamente. In alternativa, puoi controllare manualmente il DNS . Inizia controllando il DNS menzionato in Router e poi nei singoli computer della tua rete. Ti consiglierei di svuotare la cache DNS di Windows e di cambiare il (flush your Windows DNS Cache)DNS del router con qualche altro DNS come Comodo DNS , Open DNS, Google Public DNS, Yandex Secure DNS, Angel DNS, ecc. Un DNS sicuro(DNS)nel router è meglio che configurare ogni computer.

Ci sono strumenti che potrebbero interessarti(There are tools that may interest you) : F-Secure Router Checker verificherà la presenza di dirottamenti DNS , questo strumento online verifica la presenza di dirottamenti DNS e WhiteHat Security Tool monitora i dirottamenti DNS.

Ora leggi(Now read) : Cos'è il dirottamento del dominio e come recuperare un dominio dirottato.



Alessio Orlando

About the author

Sono un ingegnere del software con oltre due anni di esperienza lavorando su applicazioni mobili e desktop. Ho esperienza in aggiornamenti di Windows, servizi e Gmail. Le mie capacità mi rendono il candidato perfetto per attività come lo sviluppo di applicazioni Windows o la manutenzione dei client di posta elettronica.


Related posts