DNS Hijacking Parte 1: Cosa è e come riconoscerlo

Finalmente siete riusciti ad avere un collegamento ad Internet decente da una compagnia telefonica/(W)ISP locale, ma quando tentate di entrare in un sito vi si aprono 3 possibilità
  1. Pagina bianca: il sito non viene caricato
  2. Un errore del vostro browser che non riesce a caricare la pagina
  3. La pagina del vostro provider che vi indica che questo sito è bloccato per X motivi.
Questo significa che, molto probabilmente, il vostro ISP fa DNS Hijacking.

Prima di tutto: che cosa è il DNS? DNS sta per Domain Name Server, e fa parte della struttura base di Internet. Senza di esso sarebbe necessario scrivere l' IP del server e non un nome facile da ricordarsi, quindi, invece di google.com, dovreste digitare http://70.50.150.23, oppure usare l'email potrebbe essere un problema (wikipedia: DNS per ulteriori informazioni).

Quindi tutto il traffico per la porta 53 UDP, viene intercettato dal vs. provider e poi, eventualmente, re-indirizzato verso il nulla, oppure verso una pagina di contenuto bloccato, o simile, e ovviamente, scordatevi di usare un servizio di DNS Dinamico come no-ip: in quanto le richieste vengono prese in gestione dal provider e non è detto che accettino certi tipi di richieste.

Per verificare se il traffico DNS viene manipolato potete fare una prova, sia su Windows che su Linux.

Windows: 
dal prompt dei commandi (cmd.exe) digitate: "nslookup notdomain.tld" . Se il vostro DNS vi risponde che NON esiste il dominio, allora non c'è problema col DNS: l' ISP non intercetta il traffico DNS, altrimenti, se avete una risposta positiva significa che il provider sta facendo qualcosa col traffico DNS.

Linux:
da un terminale digitate lo stesso commando

Come fare per evitare questo? 
Potete usare DNSCrypt (sia per Windows che per Linux) .
Questo software permette di usare DNS che non operano sulla porta 53 UDP, ma su altre porte, ed alcuni, grazie alle estensioni DNSSEC, anche sulla porta 443 TCP (HTTPS).

Nella prossima, ed ultima parte, vedremo come compilare,installare e configurare DNSCrypt, sia su Windows, che su Linux. 

Per finire ecco qui una lista dei provider che, molto probabilmente, fanno DNS Hijacking: 

Italia
  • Vodafone Italia 
Se ne conoscete altri, commentate il post, sia qui, che sul gruppone di Google+ 

Un ultima cosa: il DNS Hijacking viene utilizzato, anche insieme ad altre tecniche, da cracker che cercano di portare la propria vittima su siti esca per rubare informazioni 

Commenti

Post popolari in questo blog

PostgreSQL: Cosa sono le clausole OVER e PARTITION

DNS Hijacking parte 2a : Come evitarlo sotto sistemi operativi GNU/Linux