Sí, creo que el TS estaba preguntando y mezclando sobre el envenenamiento de caché de DNS y MiTM para detectar mensajes de correo electrónico. Web Design Hero es correcto. Envenenamiento y MiTM son dos cosas diferentes. Solo para agregar, esta es mi explicación de las cosas, ya que son dos tipos de ataques diferentes y existen muchas técnicas para esto.
Con el envenenamiento de caché de DNS, hay dos (2) opciones que puede considerar:
- Puede elegir explotar una falla en el servidor DNS para acceder a los registros O
- Puede elegir acceder a los registros DNS con un método diferente (usando MiTM) sin la necesidad de explotar una falla en el sistema DNS. Lo que está haciendo son las credenciales que necesita para acceder a los registros DNS.
El envenenamiento de caché funciona cuando se llenan las entradas no válidas en el DNS para que las solicitudes de DNS subsiguientes se resuelvan en las entradas de DNS maliciosas una vez que se haya realizado una actualización. Significa si tienes sample.com como tu dominio, y tienes:
sample.com. IN MX 10 mail.sample.com.
El atacante puede hacer:
sample.com. IN MX 10 mail.smple.com.
Al actualizarse, esto se propagará a otros servidores de nombres que actúen con autoridad, ya sea primario o secundario, etc. para su dominio. El host malicioso, por supuesto, mail.smple.com puede transmitir cada copia del mensaje al correo real MX mail.sample.com para que todo se vea bien. Por supuesto, la detección es más difícil porque, obviamente, no es necesario que revise todos los registros DNS en su servidor de nombres todos los días, a menos que haga una reconfiguración o haya algo sospechoso.
Con MiTM, estás tratando con la capa de red. El atacante necesita parcharse con la red para realizar el ataque. Esto significa que no necesita específicamente lanzar un ataque con el servidor de nombres, solo necesita asociarse con la red para rastrear. Por lo general, esto funciona como parte de la red interna. Al falsificar la IP de la puerta de enlace, puede comenzar a escuchar el tráfico realizando un envenenamiento ARP, transmitiendo a la red interna que usted es la puerta de enlace legítima y enviándole el tráfico antes de que llegue al otro extremo. aunque también puede funcionar IP pública a través de un BGP MiTM. En realidad, puede derrotar la seguridad de la capa de transporte como SSL / TLS no porque los rompa, sino porque el tráfico se puede enrutar a un puerto diferente.