Spoofing de DNS.

O spoofing de DNS manipula o processo de resolução do Domain Name System para que uma consulta a um nome de anfitrião legítimo retorne um endereço IP escolhido pelo atacante. Pode ser conseguido alterando ficheiros hosts, intercetando tráfego do resolver, explorando IDs de transação fracos ou envenenando a cache de resolvers recursivos. Após o redirecionamento da vítima, os atacantes recolhem credenciais, entregam malware ou realizam interceção man-in-the-middle de sessões TLS com certificados forjados.

A técnica clássica é o ataque de envenenamento de cache de Dan Kaminsky, em 2008. Como os resolvers antigos autenticavam as respostas usando apenas um ID de transação de 16 bits, um atacante fora do caminho podia inundar um resolver com respostas forjadas para subdomínios inexistentes aleatórios, vencendo a corrida contra o servidor autoritativo real e injetando um registo NS envenenado para todo o domínio. A correção, normalizada na RFC 5452, acrescentou a aleatorização da porta de origem — transformando um espaço de pesquisa de cerca de 65.000 tentativas em milhares de milhões de combinações. Uma proteção mais forte vem do DNSSEC (RFC 4033–4035), que assina criptograficamente os registos para que os resolvers possam rejeitar respostas forjadas, e do transporte cifrado como o DoH (RFC 8484) e o DoT (RFC 7858), que impede a adulteração no caminho em redes Wi-Fi partilhadas.

sequenceDiagram
  participant V as Vitima
  participant R as Resolver
  participant A as Atacante
  participant N as Servidor de nomes real
  V->>R: Consulta bank.example?
  R->>N: Pesquisa recursiva
  A-->>R: Resposta forjada com TXID/porta adivinhados -> IP do atacante
  N-->>R: Resposta genuina chega demasiado tarde
  R-->>V: Resposta envenenada em cache
  V->>A: Liga-se ao IP do atacante

As defesas incluem validação DNSSEC, transporte cifrado (DoH/DoT), aleatorização de portas de origem e IDs de transação, endurecimento do resolver e monitorização de padrões de resolução anómalos.