** איתור מתקפת DNS Hijacking

[Cheif]

מתקפת הסייבר (OP Israel), שארעה בשבוע שעבר, גרמה לנזקים מועטים בלבד שרובם ככולם התבטאו בהשחתת אתרים ודפי אינטרנט (Defacing).

לעומת זאת, חטיפת DNS (באנגלית DNS Hijacking) היא מתקפה משמעותית יותר, המשבשת את הגדרות ה-DNS בנתב, ושנזקיה לא תמיד נראים לעין.

עד היום, האיתור של מתקפה מסוג זה ברמת הנתב הבייתי או המשתמש הבודד היתה בעייתית וקשה, אך מצב זה משתנה עם הצגתו של כלי אינטרנטי מבית F-Secure.

על הכלי ואופן השימוש בו תוכלו לקרוא כאן - http://www.netcheif.com/blog/?p=5621

[kolxxx]

איך הכלי הזה עובד?

[m1ke]

הם מחזיקים ב dns server משלהם. ברגע שאתה מתחיל בתהליך בדיקה, הם יוצרים dns record יחודי לך וגורמים לדפדפן שלך לפתוח לשם פניה. המחשב שלך יבצע dns resolve ומכיוון שהrecord הזה הוא חדש וזמני, אין מצב שאף שרת dns אחר בעולם יודע עליו, ולכן כדי לדעת מה הכתובת, צריך להגיע עד לשרת dns שלהם ולשאול מה הכתובת של הrecord הזה. ברגע שהפניה תגיע אליהם, הם יודעים להוציא ממנה את פרטי הdns שלך ולייחס אותה אליך כי הdns record הוא יחודי רק לך.

אפשר לראות את התהליך קורה באמצעות tcpdump:

13:14:33.778146 IP 192.168.11.70.gsakmp > aladin.workdns.com.domain: 19050+ A? fjdvllwymyoipzrmktjt.ismydnshijacked.com. (58)
13:14:33.929529 IP aladin.workdns.com.domain > 192.168.11.70.gsakmp: 19050 1/2/2 A 54.237.124.195 (142)
13:14:34.919126 IP 192.168.11.70.16523 > aladin.workdns.com.domain: 37141+ A? gufjyxjtxylvgvtcotaq.ismydnshijacked.com. (58)
13:14:35.003745 IP aladin.workdns.com.domain > 192.168.11.70.16523: 37141 1/2/2 A 54.93.213.234 (142)
13:14:35.823684 IP 192.168.11.70.47052 > aladin.workdns.com.domain: 35852+ A? knmiwitjlenmfsgbnfrf.ismydnshijacked.com. (58)
13:14:35.975897 IP aladin.workdns.com.domain > 192.168.11.70.47052: 35852 1/2/2 A 54.237.124.195 (142)
13:14:36.932715 IP 192.168.11.70.12617 > aladin.workdns.com.domain: 21533+ A? csqovqkpmvrqlzdaqmbv.ismydnshijacked.com. (58)
13:14:37.085078 IP aladin.workdns.com.domain > 192.168.11.70.12617: 21533 1/2/2 A 54.237.124.195 (142)
13:14:38.007180 IP 192.168.11.70.5261 > aladin.workdns.com.domain: 28405+ A? rurgzxgjoctctvsnrodv.ismydnshijacked.com. (58)
13:14:38.083071 IP aladin.workdns.com.domain > 192.168.11.70.5261: 28405 1/2/2 A 54.93.213.234 (142)

דוגמה דומה ניתן לראות פה: http://ipleak.net