Il DNS (Domani Name Server) traduce gli url (Uniform Resource Locator) in indirizzi ip e viceversa ed è quindi un servizio indispensabile; usa la porta UDP 53 per le query e la TCP 53 per le zone transfer; quando è stato inventato, nel 1983, non necessitava di nessun tipo di controlli di sicurezza, ed anche attualmente ne è completamente sprovvisto (anche se è allo studio una versione DNS-Sec: http://www.dnssec.net )
Funzionamento di un DNS
1. L’host richiede l’ip associato ad un url
2. Il dns, non avendo quell’informazione, effettua a sua volta la query ad un altro dns
3. Il secondo dns, conoscendo l’informazione richiesta, invia la risposta al primo dns
4. Il dns invia la risposta all’host
DNS Shadow Server:
Sniffing per intercettare le query
Spoofing per generare false risposte
DNS Cache Poisoning:
Si attira una vittima a querare il dns dell’attaccante, e si forniscono risposte anche a query non effettuate per forzare o sovrascrivere la cache della vittima
Entrambe queste possibilità possono essere sfruttate per portare un attacco dos verso un nodo della rete.
Possibile difesa:
WallDNS: è un software che scarta query inverse, query per classi di ip non proprie di internet, pacchetti corrotti o il cui contenuto è diverso da una singola query; funziona in pratica come un dns con un piccolo firewall a monte. In pratica maschera i veri nomi degli host fornendo nomi fasulli per compiacere il richiedente; blocca l’invio di record PTR (Pointer: trasformano gli ip in hostname) a server che ancora non hanno fornito servizi.