DNS Cache Envenenamiento y Spoofing
DNS significa Sistema de nombres de dominio, y esto ayuda a un navegador a descubrir la dirección IP de un sitio web para que pueda cargarlo en su computadora. Caché de DNS es un archivo en su computadora o la de su ISP que contiene una lista de direcciones IP de sitios web de uso regular. Este artículo explica qué es el envenenamiento de caché de DNS y la falsificación de DNS.
Envenenamiento de caché de DNS
Cada vez que un usuario escribe la URL de un sitio web en su navegador, el navegador se comunica con un archivo local (DNS Cache) para ver si hay alguna entrada para resolver la dirección IP del sitio web. El navegador necesita la dirección IP de los sitios web para que pueda conectarse al sitio web. No puede simplemente usar la URL para conectarse directamente al sitio web. Debe resolverse en una dirección IPv4 o IPv6 adecuada. Si el registro está allí, el navegador web lo usará; de lo contrario, irá a un servidor DNS para obtener la dirección IP. Esto se llama como búsqueda de DNS.
Se crea un caché de DNS en su computadora o en la computadora del servidor DNS de su ISP, de modo que se reduce la cantidad de tiempo empleado en consultar el DNS de una URL. Básicamente, los cachés de DNS son pequeños archivos que contienen la dirección IP de diferentes sitios web que se usan con frecuencia en una computadora o red. Antes de contactar con los servidores DNS, las computadoras en una red contactan al servidor local para ver si hay alguna entrada en el caché de DNS. Si hay uno, las computadoras lo usarán; de lo contrario, el servidor se pondrá en contacto con un servidor DNS y buscará la dirección IP. Luego actualizará el caché de DNS local con la última dirección IP para el sitio web.
Cada entrada en un caché de DNS tiene un límite de tiempo establecido, dependiendo de los sistemas operativos y la precisión de las resoluciones de DNS. Una vez transcurrido el período, la computadora o el servidor que contiene el caché de DNS se contactará con el servidor DNS y actualizará la entrada para que la información sea correcta..
Sin embargo, hay personas que pueden envenenar el caché de DNS para actividades delictivas.
Envenenando el caché Significa cambiar los valores reales de las URL. Por ejemplo, los ciberdelincuentes pueden crear un sitio web que se parece a, por ejemplo,, xyz.com e ingrese su registro DNS en su caché de DNS. Así, cuando escribes xyz.com En la barra de direcciones del navegador, este último recogerá la dirección IP del sitio web falso y lo llevará allí, en lugar del sitio web real. Esto se llama Pharming. Usando este método, los ciberdelincuentes pueden robar sus credenciales de inicio de sesión y otra información como los detalles de la tarjeta, el número de seguro social, los números de teléfono y más para el robo de identidad. El envenenamiento de DNS también se realiza para inyectar malware en su computadora o red. Una vez que llegas a un sitio web falso utilizando un caché de DNS envenenado, los delincuentes pueden hacer lo que quieran.
A veces, en lugar del caché local, los delincuentes también pueden configurar servidores DNS falsos para que, cuando se les consulta, puedan dar direcciones IP falsas. Esto es un envenenamiento de DNS de alto nivel y corrompe la mayoría de los cachés de DNS en un área en particular, afectando a muchos más usuarios.
Leer acerca de: Comodo Secure DNS | OpenDNS | DNS público de Google | Yandex Secure DNS | Angel DNS.
Falsificación de caché de DNS
La falsificación de DNS es un tipo de ataque que implica la suplantación de las respuestas del servidor DNS para introducir información falsa. En un ataque de suplantación de identidad, un usuario malintencionado intenta adivinar que un cliente o servidor DNS ha enviado una consulta de DNS y está esperando una respuesta de DNS. Un ataque de suplantación de identidad exitoso insertará una respuesta de DNS falsa en la memoria caché del servidor DNS, un proceso conocido como envenenamiento de la memoria caché. Un servidor DNS falsificado no tiene forma de verificar que los datos de DNS son auténticos, y responderá desde su caché utilizando la información falsa.
DNS Cache Spoofing suena similar al DNS Cache Envenenamiento, pero hay una pequeña diferencia. DNS Cache Spoofing es un conjunto de métodos utilizados para envenenar un caché de DNS. Esto podría ser una entrada forzada al servidor de la red de una computadora para modificar y manipular el caché DNC. Esto podría ser configurar un servidor DNS falso para que se envíen respuestas falsas cuando se consulten. Hay muchas maneras de envenenar un caché de DNS, y una de las formas más comunes es la falsificación de caché de DNS..
Leer: Cómo saber si la configuración de DNS de su computadora se ha comprometido con ipconfig.
Envenenamiento de caché de DNS - Prevención
No hay muchos métodos disponibles para prevenir el envenenamiento de DNS Cache. El mejor método es ampliar sus sistemas de seguridad para que ningún atacante pueda comprometer su red y manipular el caché de DNS local. Utilizar una buen cortafuegos que puede detectar ataques de envenenamiento de caché de DNS. Borrar el caché de DNS Con frecuencia también es una opción que algunos de ustedes pueden considerar..
Aparte de ampliar los sistemas de seguridad, los administradores deberían actualizar su firmware y software Mantener actualizados los sistemas de seguridad. Los sistemas operativos deben ser parcheados con las últimas actualizaciones. No debe haber ningún enlace saliente de terceros. El servidor debe ser la única interfaz entre la red e Internet y debe estar detrás de un buen firewall.
los relaciones de confianza de los servidores en la red se debe subir más alto para que no pidan resoluciones de DNS a cualquier servidor. De esa manera, solo los servidores con certificados genuinos podrán comunicarse con el servidor de red mientras resuelven los servidores DNS.
los período de cada entrada en el caché de DNS debe ser breve para que los registros de DNS se obtengan con más frecuencia y se actualicen. Esto puede significar períodos más largos de conexión a sitios web (a veces) pero reducirá las posibilidades de usar un caché envenenado.
Bloqueo de caché de DNS debe configurarse al 90% o más en su sistema Windows. El bloqueo de caché en Windows Server le permite controlar si la información en el caché de DNS puede o no sobrescribirse. Ver TechNet para más información sobre esto.
Utilizar el Grupo de sockets DNS ya que permite que un servidor DNS utilice la asignación aleatoria de puertos de origen al emitir consultas DNS. Esto proporciona seguridad mejorada contra ataques de envenenamiento de caché, dice TechNet.
Extensiones de seguridad del sistema de nombres de dominio (DNSSEC) es un conjunto de extensiones para Windows Server que agrega seguridad al protocolo DNS. Puede leer más sobre esto aquí.
Hay dos herramientas que te pueden interesar.: F-Secure Router Checker buscará el secuestro de DNS y la herramienta de seguridad WhiteHat monitorea los secuestros de DNS.
Ahora lee: ¿Qué es el secuestro de DNS??
Observación y comentarios son bienvenidos..