Un DNS sinkhole (conosciuto in inglese anche come sinkhole server, Internet sinkhole o Blackhole DNS[1] è un server DNS che restituisce un falso risultato quando si chiede di risolvere un nome di dominio.
Descrizione
[modifica | modifica wikitesto]Un sinkhole è un server DNS che fornisce falsi risultati a sistemi che cercano informazioni DNS, dando quindi la possibilità a un utente malintenzionato di reindirizzare un sistema a una destinazione potenzialmente dannosa. Storicamente, però, i DNS sinkhole sono stati utilizzati anche per scopi non dannosi.
Quando un computer visita un server DNS per risolvere un nome di dominio, il fornitore restituirà un risultato, se possibile; in caso contrario, delegherà il sistema di risoluzione a un fornitore di livello superiore per la risoluzione. Più alto è un DNS sinkhole in questa catena, più richieste riceverà e più vantaggioso sarà l'effetto che fornirà.
Disabilitazione a livello di rete
[modifica | modifica wikitesto]Un sinkhole è un server DNS standard che è stato configurato per distribuire indirizzi non instradabili per tutti i domini nel sinkhole, di modo che ogni computer che lo usa non riesca ad accedere al sito reale.[2] Più in alto si trova il sinkhole nella catena di risoluzione DNS, più richieste bloccherà poiché fornirà risposte a un numero maggiore di server DNS inferiori che a loro volta serviranno un numero maggiore di client. Alcune delle botnet più grandi sono state rese inutilizzabili da sinkhole TLD che coprono l'intera Internet.[3] I DNS sinkhole sono efficaci nel rilevare e bloccare il traffico dannoso e vengono utilizzati per combattere i bot e altro traffico indesiderato.
Disabilitazione a livello di host
[modifica | modifica wikitesto]Per impostazione predefinita il file host locale su un computer Microsoft Windows, Unix o Linux viene controllato prima dei server DNS e può essere utilizzato anche per bloccare i siti allo stesso modo.
Applicazioni
[modifica | modifica wikitesto]I sinkhole possono essere utilizzati sia in modo costruttivo, come è stato fatto per il contenimento delle minacce WannaCry e Avalanche,[4] sia in modo distruttivo, interrompendo ad esempio i servizi DNS in un attacco DoS.
Un uso tipico è il blocco delle botnet, che taglia fuori i nomi DNS che la botnet è programmata a utilizzare per il suo coordinamento. L'utilizzo però più comune di un sinkhole basato su file host è il blocco dei siti di pubblicazione di annunci.[5] Il blocco della pubblicità può anche essere effettuato utilizzando un server DNS in esecuzione sul proprio computer locale o sulla propria rete locale (ad esempio tramite Pi-hole) in modo da inibire gli annunci per tutti i dispositivi sulla rete.[6]
Note
[modifica | modifica wikitesto]- ^ (EN) kevross33, BlackholeDNS: Anyone tried it with pfsense?, su pfsense.org, 22 novembre 2011.
- ^ (EN) Kelly Jackson Higgins, DNS Sinkhole - SANS Institute, su sans.org, 2 ottobre 2012.
- ^ (EN) Kelly Jackson Higgins, Microsoft Hands Off Nitol Botnet Sinkhole Operation To Chinese CERT, su darkreading.com, 2 ottobre 2012.
- ^ (EN) rain-1, WannaCry WannaDecrypt0r NSA-Cyberweapon-Powered Ransomware Worm, su gist.github.com.
- ^ (EN) Dan Pollock, How to make the Internet not suck (as much), in someonewhocares.org, 11 ottobre 2012.
- ^ (EN) Thorin Klosowski, Turn A Raspberry Pi Into An Ad Blocker With A Single Command, in Lifehacker Australia, 17 febbraio 2015.