DNS sinkhole

Un DNS sinkhole (conosciuto in inglese anche come sinkhole server, Internet sinkhole o Blackhole DNS^[1] è un server DNS che restituisce un falso risultato quando si chiede di risolvere un nome di dominio.

Descrizione

Un sinkhole è un server DNS che fornisce falsi risultati a sistemi che cercano informazioni DNS, dando quindi la possibilità a un utente malintenzionato di reindirizzare un sistema a una destinazione potenzialmente dannosa. Storicamente, però, i DNS sinkhole sono stati utilizzati anche per scopi non dannosi.

Quando un computer visita un server DNS per risolvere un nome di dominio, il fornitore restituirà un risultato, se possibile; in caso contrario, delegherà il sistema di risoluzione a un fornitore di livello superiore per la risoluzione. Più alto è un DNS sinkhole in questa catena, più richieste riceverà e più vantaggioso sarà l'effetto che fornirà.

Disabilitazione a livello di rete

Un sinkhole è un server DNS standard che è stato configurato per distribuire indirizzi non instradabili per tutti i domini nel sinkhole, di modo che ogni computer che lo usa non riesca ad accedere al sito reale.^[2] Più in alto si trova il sinkhole nella catena di risoluzione DNS, più richieste bloccherà poiché fornirà risposte a un numero maggiore di server DNS inferiori che a loro volta serviranno un numero maggiore di client. Alcune delle botnet più grandi sono state rese inutilizzabili da sinkhole TLD che coprono l'intera Internet.^[3] I DNS sinkhole sono efficaci nel rilevare e bloccare il traffico dannoso e vengono utilizzati per combattere i bot e altro traffico indesiderato.

Disabilitazione a livello di host

Per impostazione predefinita il file host locale su un computer Microsoft Windows, Unix o Linux viene controllato prima dei server DNS e può essere utilizzato anche per bloccare i siti allo stesso modo.

Applicazioni

I sinkhole possono essere utilizzati sia in modo costruttivo, come è stato fatto per il contenimento delle minacce WannaCry e Avalanche,^[4] sia in modo distruttivo, interrompendo ad esempio i servizi DNS in un attacco DoS.

Un uso tipico è il blocco delle botnet, che taglia fuori i nomi DNS che la botnet è programmata a utilizzare per il suo coordinamento. L'utilizzo però più comune di un sinkhole basato su file host è il blocco dei siti di pubblicazione di annunci.^[5] Il blocco della pubblicità può anche essere effettuato utilizzando un server DNS in esecuzione sul proprio computer locale o sulla propria rete locale (ad esempio tramite Pi-hole) in modo da inibire gli annunci per tutti i dispositivi sulla rete.^[6]

Note

1. ^ (EN) kevross33, BlackholeDNS: Anyone tried it with pfsense?, su pfsense.org, 22 novembre 2011.
2. ^ (EN) Kelly Jackson Higgins, DNS Sinkhole - SANS Institute, su sans.org, 2 ottobre 2012.
3. ^ (EN) Kelly Jackson Higgins, Microsoft Hands Off Nitol Botnet Sinkhole Operation To Chinese CERT, su darkreading.com, 2 ottobre 2012.
4. ^ (EN) rain-1, WannaCry WannaDecrypt0r NSA-Cyberweapon-Powered Ransomware Worm, su gist.github.com.
5. ^ (EN) Dan Pollock, How to make the Internet not suck (as much), in someonewhocares.org, 11 ottobre 2012.
6. ^ (EN) Thorin Klosowski, Turn A Raspberry Pi Into An Ad Blocker With A Single Command, in Lifehacker Australia, 17 febbraio 2015.

Voci correlate

• Domain Name System
• Hosts
• Nome di dominio
• Pi-hole

  Portale Sicurezza informatica: accedi alle voci di Wikipedia che trattano di sicurezza informatica