Intoxicación y falsificación de caché DNS

DNS significa Sistema de nombres de dominio, y esto ayuda al navegador a descifrar la dirección IP de un sitio web para que pueda cargarlo en su computadora. Caché DNS es un archivo en su computadora o la de su ISP que contiene una lista de direcciones IP de sitios web usados ​​regularmente. Este artículo explica qué es el envenenamiento de la caché DNS y la suplantación de DNS.

Envenenamiento de caché DNS

Cada vez que un usuario escribe la URL de un sitio web en su navegador, el navegador contacta con un archivo local (Caché DNS) para ver si hay cualquier entrada para resolver la dirección IP del sitio web. El navegador necesita la dirección IP de los sitios web para que pueda conectarse al sitio web. No puede simplemente usar la URL para conectarse directamente al sitio web. Debe resolverse en una dirección IP IPv4 o IPv6 adecuada. Si el registro está allí, el navegador web lo usará; de lo contrario, irá a un servidor DNS para obtener la dirección IP. Esto se conoce como búsqueda DNS.

Se crea un caché DNS en su computadora o la computadora servidor DNS de su ISP, de modo que se reduce el tiempo dedicado a consultar el DNS de una URL. Básicamente, los cachés DNS son pequeños archivos que contienen la dirección IP de diferentes sitios web que se utilizan con frecuencia en una computadora o red. Antes de ponerse en contacto con los servidores DNS, las computadoras en una red se ponen en contacto con el servidor local para ver si hay alguna entrada en el caché DNS. Si hay uno, las computadoras lo usarán; de lo contrario, el servidor se pondrá en contacto con un servidor DNS y buscará la dirección IP. Luego, actualizará el caché DNS local con la última dirección IP del sitio web.

Cada entrada en un caché DNS tiene un límite de tiempo establecido, dependiendo de los sistemas operativos y la precisión de las resoluciones DNS. Una vez que el período expira, la computadora o servidor que contiene la memoria caché de DNS se pondrá en contacto con el servidor DNS y actualizará la entrada para que la información sea correcta.

Sin embargo, hay personas que pueden envenenar la caché de DNS por actividad delictiva.

Envenenar el caché significa cambiar los valores reales de las URL. Por ejemplo, los ciberdelincuentes pueden crear un sitio web que se parece a, por ejemplo, xyz.com e ingresar su registro DNS en su caché de DNS. Por lo tanto, cuando escribe xyz.com en la barra de direcciones del navegador, este último recogerá la dirección IP del sitio web falso y lo llevará allí, en lugar del sitio web real. Esto se llama Pharming. Con este método, los delincuentes cibernéticos pueden falsificar sus credenciales de inicio de sesión y otra información, como detalles de la tarjeta, número de seguro social, números de teléfono y más para el robo de identidad. El envenenamiento de DNS también se realiza para inyectar malware en su computadora o red. Una vez que aterrizas en un sitio web falso usando un caché de DNS envenenado, los delincuentes pueden hacer lo que quieran.

A veces, en lugar del caché local, los delincuentes también pueden configurar servidores DNS falsos para que cuando se les pregunte puedan dar falsos Direcciones IP. Este es un envenenamiento DNS de alto nivel y corrompe la mayoría de las cachés DNS en un área particular, afectando así a muchos más usuarios.

Lea acerca de : DNS seguro de Comodo | OpenDNS | Google Public DNS | Yandex Secure DNS | Angel DNS.

DNS Spocheing

DNS spoofing es un tipo de ataque que implica la suplantación de las respuestas del servidor DNS para introducir información falsa. En un ataque de falsificación, un usuario malintencionado intenta adivinar que un cliente o servidor DNS ha enviado una consulta DNS y está esperando una respuesta DNS. Un ataque de falsificación exitoso insertará una respuesta DNS falsa en el caché del servidor DNS, un proceso conocido como envenenamiento de caché. Un servidor DNS falsificado no tiene forma de verificar que los datos DNS sean auténticos y responderá desde su caché utilizando la información falsa.

La suplantación de caché DNS suena similar a la Intoxicación de caché DNS, pero hay una pequeña diferencia. DNS Cache Spoofing es un conjunto de métodos utilizados para envenenar un caché de DNS. Esto podría ser una entrada forzada al servidor de una red informática para modificar y manipular el caché DNC. Esto podría ser la configuración de un servidor DNS falso para que se envíen respuestas falsas cuando se solicite. Hay muchas maneras de envenenar un caché DNS, y una de las formas más comunes es la falsificación de caché DNS.

Lea : Cómo saber si la configuración de DNS de su computadora se ha visto comprometida usando ipconfig.

Intoxicación con caché DNS - Prevención

No hay muchos métodos disponibles para evitar el envenenamiento de la caché DNS. El mejor método es ampliar sus sistemas de seguridad para que ningún atacante pueda poner en peligro su red y manipular la memoria caché DNS local. Use un buen firewall que pueda detectar ataques de envenenamiento de memoria caché DNS. Limpiar el caché DNS también es una opción que algunos de ustedes pueden considerar.

Aparte de escalar sistemas de seguridad, administradores debería actualizar su firmware y software para mantener actualizados los sistemas de seguridad. Los sistemas operativos deberían estar actualizados con las últimas actualizaciones. No debe haber ningún enlace saliente de terceros. El servidor debe ser la única interfaz entre la red e Internet y debe estar detrás de un buen servidor de seguridad.

Las relaciones de confianza de los servidores en la red deben subir más para que no pregunten a cualquiera servidor para resoluciones de DNS. De esta forma, solo los servidores con certificados genuinos podrían comunicarse con el servidor de red mientras resuelven los servidores DNS.

El período de cada entrada en el caché DNS debe ser corto para que los registros DNS se obtengan más con frecuencia y se actualizan. Esto puede significar periodos de tiempo más largos para conectarse a sitios web (a veces) pero reducirá las posibilidades de usar un caché envenenado.

El bloqueo de caché DNS debe configurarse al 90% o más en su sistema Windows. El bloqueo de caché en Windows Server le permite controlar si la información en el caché de DNS puede sobrescribirse o no. Consulte TechNet para obtener más información al respecto.

Use el conjunto de sockets DNS , ya que permite que un servidor DNS use la aleatorización del puerto fuente al emitir consultas DNS. Esto proporciona seguridad mejorada contra ataques de envenenamiento de caché, dice TechNet.

Extensiones de seguridad del sistema de nombres de dominio (DNSSEC) es un conjunto de extensiones para Windows Server que agrega seguridad al protocolo DNS. Puede leer más sobre esto aquí.

Hay dos herramientas que pueden interesarle : F-Secure Router Checker verificará el secuestro de DNS, y WhiteHat Security Tool monitorea secuestros de DNS.

Ahora, lea: ¿Qué es DNS Hijacking?

Observación y comentarios son bienvenidos.