Autore: PUOJACKZ Data: 2005-11-26 Modificato: Documento non modificato Letture: 1789 Torna indietro

Il file HOSTS è presente già all'interno del filesystem del computer, in quanto depositato durante le fasi d'installazione del sistema operativo nel box.
La funzione principale di quest'ultimo è quella di mappare gli indirizzi IP, con i relativi indirizzi Hostname, decisi dall'amministratore, conservandoli nell'area locale.
Durante la fase di comunicazione, con un host remoto, il nome usato per specificare la destinazione verrà prima controllato nella propria lista cache e, successivamente, qualora non vi siano dati specifici a riguardo, verrà inviata una query al sistema DNS raggiungibile.
Questo dispositivo permette un ottimizzazione dei tempi di reversing tra IP ed Hostname, in quanto, l'operazione avviene direttamente sul computer, senza il bisogno di una comunicazione con la rete esterna.

Locazione del file

In genere, il file HOSTS è localizzato nelle seguenti directory, a seconda dell'OS ove si effettua la ricerca:

In UNIX e negli OS Unix-Like - /etc/hosts (oppure, solo /etc)
Su Windows 95/Windows 98/Windows Me - C:\windows\
Su Windows 2000/Windows XP - %SystemRoot%\system32\drivers\etc\
Su Windows NT - C:\winnt\system32\drivers\etc\
Su Mac OS - Cartella di sistema:Preferences o Cartella di sistema (il formato del file può variare da quelli presenti su Windows & Linux)
Su Mac OS X - /etc (usa un file HOSTS simile a quello presente in sistemi BSD)

Filtraggio della pubblicità

Uno degli utilizzi del file Hosts è come filtro alle pubblicità. Ciò può avvenire aggiungendo una stringa che mappi il server responsabile dell'Advertisement, all'indirizzo IP 127.0.0.1 (LocalHost), oppure allo 0.0.0.0 (No IP).
Sfruttando il funzionamento basilare del file, quando il browser tenta di accedere all'indirizzo della pubblicità, il traffico viene reindirizzato ad un indirizzo ove non è presente tale materiale. A differenza dei programmi anti-pubblicità, questo sistema impiega pochissime risorse ed è alquanto efficace.

Filtraggio delle connessioni indesiderate

Qualora, nel sistema, sia presente un programma che effettua delle connessioni indesiderate ad un hostname fisso, è possibile, sfruttando lo stesso metodo impiegato per bloccare le pubblicità, reindirizzare il traffico generato da quest'ultimo, verso il LocalHost/NO Ip. Si tenga presente, però, che, l'impiego di questo stratagemma dev'essere calcolato, a priori, riguardo alcuni aspetti (es. se l'hostname che si vuol bloccare è legato, in modo sensibile, al funzionamento di uno o più programmi, oppure, che il reindirizzamento non vada a compromettere eventuali servizi online importanti, es. relativi ai programmi di sicurezza installati nel box).

Hijacking

Il file HOSTS può essere utilizzato anche per scopi maligni, dagli autori dei malware. Allo stesso modo di com'è possibile reindirizzare gli indirizzi Host, relativi alle pubblicità, è possibile costringere i programmi locali nel contattare eventuali server contenenti materiale pericoloso, oppure WebDust, qualora tentino di connettersi a siti molto conosciuti (es. google.com). Questa tecnica è conosciuta come "Hijacking" (dirottamento).
In certi casi, vari worm inquinano il file HOSTS con indirizzi host, relativi a servizi di sicurezza (es. server ove recuperare gli ultimi signature update per gli AV), mappati al LocalHost, al fine di bloccare eventuali attività di aggiornamento, oppure bloccando l'utente nell'accedere alle librerie online, per la rimozione manuale dei malware.
Solitamente, vengono inclusi gli indirizzi dei servizi relativi ai rivenditori dei software AV più conosciuti, oppure dei laboratori di produzione delle patch per gli OS (es. Microsoft's Windows Update), rendendo, le operazioni di pulizia, più complesse per gli utenti inesperti.

Come prevenire l'Hijacking?

L'unica soluzione attuabile per evitare l'inquinamento del file HOSTS sta nell'adottare un software per il monitoraggio in realtime (es. L'Hosts Monitor presente nel Microsoft Defender), il quale avvisa l'utente se avvengono dei tentativi di modifica del file HOSTS. Modificare le proprietà, rendendolo di sola lettura, è totalmente inefficace. I malware hanno delle routines interne che permettono di ripristinare gli attributi di scrittura e lettura, nel file, provvedendo,
successivamente, alla modifica. Anche le opzioni di locking, offerte da alcuni software anti-Spyware commerciali famosi, si son rivelate inutili.

Come recuperare il file HOSTS, qualora venga modificato?

La seguente procedura funziona solo qualora non siano state inserite, manualmente, delle stringhe nel file HOSTS.
Occorre aprire il file suddetto (dopo aver effettuato un BackUp di quest'ultimo), rimuovere tutte le stringhe presenti (solitamente, questo file presenta solo la mappatura 127.0.0.1 - LOCALHOST), ripristinare la stringa

"127.0.0.1          localhost"

salvare il file e riavviare il computer.

Nota Bene: La seguente procedura ripristina una versione del file HOSTS "Vanilla", ossia senza eventuali modifiche avvenute in seguito a particolari programmi installati nel sistema.

Considerazioni sulla sicurezza e l'utilizzo

Il file HOSTS, purtroppo, può essere causa di perdite di tempo e falso senso della sicurezza. Come già detto, può essere sfruttato dai malware per aumentare la difficoltà, durante le operazioni di pulizia del sistema, in caso d'infezione. 
Inoltre, gli attributi di sola lettura (o le opzioni di locking) possono indurre, l'amministratore, nel credere d'aver bloccato ogni possibilità di modifica del file.
In questo caso, però, basterebbe mantenere una copia, in una cartella privata con nome deciso a piacere, ove c'è un file HOSTS rinominato sotto altro nome, da sostituire, ad ogni boot, tramite delle dovute impostazioni, nel file Autoexec.bat.
Il file HOSTS è una parte arcaica dei sistemi di setup della rete, originalmente pensati per essere usati nelle LAN, come sistema per il Domain LookUp/DNS History su ARPANET.
Quest'ultimo può essere un buon mezzo per risparmiar tempo nel "ricercare" una LAN, oppure per impostare degli IP, direttamente agli hostname e quindi evitare le procedure di query dirette al server DNS.
Purtroppo, però, la funzione dell'hostname non solo sta nel semplificare, all'utente, il raggiungimento di un certo sito, ma anche perchè, in caso di cambio dell'indirizzo IP sottostante, non vi son problemi di sorta.
Il problema sta proprio se l'indirizzo IP cambia, in quanto, la stringa contenuta nella cache interna dell'OS, punterebbe ancora all'IP vecchio, rendendo quest'ultimo erroneamente irraggiungibile.
Ovviamente, è quasi impossibile aggiornare il file HOSTS frequentemente e qualora quest'ultimo presenti troppe stringhe inserite, potrebbe rallentare sensibilmente il procedimento di ricerca nel DNS Client Server Caching (che non è bene disattivare per velocizzare le attività).