¿Qué es un ataque de secuestro de DNS y cómo prevenirlo?
DNS Es importante para resolver las URL que ingresa en la barra de direcciones de su navegador. Mucho trabajo entra Resolución de nombres de dominio. Es un tipo de operación recursiva que ayuda a su navegador a obtener la dirección IP del sitio web al que intenta acceder. Si está interesado, puede leer más sobre Búsqueda de DNS y Servidores.
El termino Caché de DNS se refiere al caché local que contiene las direcciones IP resueltas de los sitios web que usted frecuenta. La idea de DNS Cache es ahorrar tiempo que, de lo contrario, se dedicaría a contactar con servidores DNS que iniciarían un conjunto de operaciones recursivas para averiguar la dirección IP real de la URL a la que debe acceder. Pero este cache puede ser envenenado por los ciberdelincuentes simplemente cambiando las entradas en su cache DNS a direcciones IP falsas para los sitios web que usa.
¿Qué es el secuestro de DNS?
Como su nombre indica, DNS Hijacking o Redireccionamiento es un método utilizado por los ciberdelincuentes para secuestrar el intento de su navegador de resolver la dirección IP del sitio web que desea cargar. Para facilitar su uso, las URL que utilizamos están en formato de texto. Para cada URL, hay una dirección IP, y un conjunto de operaciones se convierte en convertir la URL del texto en una dirección IP numérica. Dado que hay muchas operaciones involucradas para resolver la dirección IP, los cibercriminales pueden aprovechar la demora y enviar a su computadora una dirección IP falsa que les pertenece..
Lo mas método común para el secuestro de DNS es instalar un malware en su computadora que cambia el DNS para que cada vez que su navegador intente resolver una URL, se ponga en contacto con uno de los servidores DNS falsos en lugar de los servidores DNS reales que utiliza la ICANN (autoridad de Internet que es responsable de registrarse) dominios, administrándolos, proporcionándoles direcciones IP, manteniendo las direcciones de contacto y más). Los servidores DNS directos con los que contacta su computadora son los servidores DNS operados por su proveedor de servicios de Internet, a menos que los haya cambiado a otra cosa. Cuando se compra una conexión a Internet, los servidores DNS en uso son del ISP, reconocidos por la ICANN..
El malware en su computadora cambia el DNS predeterminado en el que su computadora confía para apuntar a alguna otra dirección IP. De esa manera, cuando su navegador intenta resolver una dirección IP, su computadora se comunica con un servidor DNS falso que le da una dirección IP incorrecta. Esto hace que su navegador cargue un sitio web malicioso que puede comprometer su computadora o robar sus credenciales, etc..
Secuestro de DNS vs. Envenenamiento de caché de DNS
Aunque ambos ocurren a nivel local, sus orígenes son de servidores DNS falsos. Mientras que la El secuestro de DNS implica un malware, la El envenenamiento de caché de DNS implica sobrescribir su caché de DNS local con valores falsos que redirigen su navegador a sitios web maliciosos. El envenenamiento o suplantación de identidad de la memoria caché del DNS implica técnicas como el bombardeo de direcciones IP falsas que su computadora recoge mientras los servidores de DNS originales aún están ocupados resolviendo la URL. Es decir, en el tiempo que tardan los servidores DNS genuinos en resolver una URL, los ciberdelincuentes envían muchas respuestas que equiparan la URL con direcciones IP falsas.
Por ejemplo, escribe thewindowsclub.com en tu navegador Cuando un verdadero servidor DNS busca las direcciones, su computadora recibe más de una resolución de que el sitio está en la dirección IP de XYZ. Esto hará que su computadora crea que el sitio está en XYZ a pesar de que el servidor DNS genuino envía la dirección IP genuina porque los servidores DNS de los ciberdelincuentes enviaron muchas respuestas que contenían una IP falsa para thewindowsclub.com.
Los delincuentes cibernéticos utilizan esta diferencia en el tiempo de manera efectiva, ya que cuentan con muchos servidores DNS falsos para que su computadora anote las direcciones IP incorrectas y maliciosas en la memoria caché. Por lo tanto, una de las diez resoluciones de DNS falsas enviadas por los servidores de DNS de los ciberdelincuentes tiene prioridad sobre una resolución de DNS genuina enviada por los servidores de DNS genuinos. Otros métodos de envenenamiento y prevención de caché de DNS se enumeran en el enlace proporcionado anteriormente.Aunque el envenenamiento de caché de DNS y el secuestro de DNS se usan indistintamente, existe una pequeña diferencia entre ellos. El método de envenenamiento de caché de DNS no implica inyectar malware en su sistema informático, sino que se basa en métodos diferentes como el que se explicó anteriormente, donde los servidores de DNS falsos envían una resolución de URL más rápida que el servidor de DNS original y, por lo tanto, el caché se envenena. Una vez que el caché se envenena, cuando utiliza un sitio web infectado, su computadora se ve comprometida. En el caso de DNS Hijacking, ya estás infectado. Un malware cambia su proveedor de servicios DNS predeterminado a algo que los cibercriminales quieren. Y desde allí, controlan sus resoluciones de URL (búsquedas de DNS), y luego continúan envenenando su caché de DNS.
Cómo prevenir el secuestro de DNS
Ya hemos discutido cómo prevenir el envenenamiento de DNS. Para detener o evitar el secuestro de DNS, se recomienda utilizar un buen software de seguridad que mantenga alejado el malware, como los cambiadores de DNS. Utilizando un buen Firewall. Si bien un firewall basado en hardware es el mejor, si no lo tiene, puede activar el firewall de su enrutador como mínimo.
Si cree que ya está infectado, es mejor eliminar el contenido del archivo HOSTS y restablecer el archivo Hosts. Después de hacer esto, siga adelante y use un antimalware que lo ayude a deshacerse de los Cambiadores de DNS..
Compruebe si algún cambiador de DNS ha cambiado su DNS. Si es así, debes cambiar la configuración de tu DNS. Puedes comprobarlo automáticamente. Alternativamente, puede verificar el DNS manualmente. Comience por verificar el DNS que se menciona en Enrutador y luego en computadoras individuales en su red. Le recomendaría que vacíe su caché de DNS de Windows y cambie el DNS de su enrutador a algún otro DNS como Comodo DNS, DNS abierto, DNS público de Google, DNS seguro de Yandex, DNS de ángel, etc. Un DNS seguro en el enrutador es mejor que configurar cada uno computadora.
Hay herramientas que te pueden interesar.: F-Secure Router Checker verificará si hay secuestro de DNS, esta herramienta en línea verificará si hay secuestro de DNS, y WhiteHat Security Tool monitoreará el secuestro de DNS.
Ahora lee: ¿Qué es el secuestro de dominios y cómo recuperar un dominio secuestrado?.