Envenenamiento y suplantación de la caché de DNS: ¿qué es?

DNS son las siglas de Domain Name System, y esto ayuda al navegador a determinar la dirección IP de un sitio web para que pueda cargarlo en su computadora. Caché de DNS es un archivo en su computadora o la de su ISP que contiene una lista de direcciones IP de sitios web que se utilizan con regularidad. Este artículo explica qué es el envenenamiento de la caché de DNS y la suplantación de DNS.

Envenenamiento de la caché de DNS

Cada vez que un usuario escribe la URL de un sitio web en su navegador, el navegador se pone en contacto con un archivo local (caché DNS) para ver si hay una entrada para resolver la dirección IP del sitio web. El navegador necesita la dirección IP de los sitios web para poder conectarse al sitio web. No puede simplemente usar la URL para conectarse directamente al sitio web. Tiene que resolverse en una dirección IP IPv4 o IPv6 adecuada. Si el registro está allí, el navegador web lo usará; de lo contrario, irá a un servidor DNS para obtener la dirección IP. Esto se llama búsqueda de DNS.

Se crea una caché de DNS en su computadora o en la computadora del servidor DNS de su ISP para que se reduzca la cantidad de tiempo dedicado a consultar el DNS de una URL. Básicamente, las cachés de DNS son pequeños archivos que contienen la dirección IP de diferentes sitios web que se utilizan con frecuencia en una computadora o red. Antes de comunicarse con los servidores DNS, las computadoras de una red se comunican con el servidor local para ver si hay una entrada en la caché de DNS. Si hay uno, las computadoras lo usarán; de lo contrario, el servidor se pondrá en contacto con un servidor DNS y buscará la dirección IP. Luego, actualizará la caché de DNS local con la última dirección IP para el sitio web.

Cada entrada en una caché de DNS tiene un límite de tiempo establecido, según los sistemas operativos y la precisión de las resoluciones de DNS. Una vez que expira el período, la computadora o el servidor que contiene la caché de DNS se comunicará con el servidor de DNS y actualizará la entrada para que la información sea correcta.
Sin embargo, hay personas que pueden envenenar la caché del DNS para detectar actividades delictivas.

Envenenando el caché significa cambiar los valores reales de las URL. Por ejemplo, los ciberdelincuentes pueden crear un sitio web que se parezca a, por ejemplo, xyz.com e ingresar su registro DNS en su caché de DNS. Por lo tanto, cuando escribe xyz.com en la barra de direcciones del navegador, este último recogerá la dirección IP del sitio web falso y lo llevará allí, en lugar del sitio web real. Esto se llama Pharming. Con este método, los ciberdelincuentes pueden robar sus credenciales de inicio de sesión y otra información, como detalles de la tarjeta, número de seguro social, números de teléfono y más para el robo de identidad. El envenenamiento de DNS también se realiza para inyectar malware en su computadora o red. Una vez que llega a un sitio web falso utilizando un caché de DNS envenenado, los delincuentes pueden hacer lo que quieran.

A veces, en lugar de la caché local, los delincuentes también pueden configurar servidores DNS falsos para que, cuando se les pregunte, puedan dar direcciones IP falsas. Este es un envenenamiento de DNS de alto nivel y corrompe la mayoría de las cachés de DNS en un área en particular, lo que afecta a muchos más usuarios.

Leer sobre: DNS seguro de Comodo | OpenDNS | DNS público de Google | DNS seguro de Yandex | Ángel DNS.

Suplantación de la caché de DNS

Envenenamiento y suplantación de caché de DNS

La suplantación de DNS es un tipo de ataque que implica la suplantación de las respuestas del servidor DNS para introducir información falsa. En un ataque de suplantación de identidad, un usuario malintencionado intenta adivinar que un cliente o servidor DNS ha enviado una consulta DNS y está esperando una respuesta de DNS. Un ataque de suplantación de identidad exitoso insertará una respuesta DNS falsa en la caché del servidor DNS, un proceso conocido como envenenamiento de la caché. Un servidor DNS falsificado no tiene forma de verificar que los datos DNS sean auténticos y responderá desde su caché utilizando la información falsa.

La suplantación de caché de DNS suena similar a la intoxicación de caché de DNS, pero hay una pequeña diferencia. La suplantación de caché de DNS es un conjunto de métodos utilizados para envenenar una caché de DNS. Esto podría ser una entrada forzada al servidor de una red informática para modificar y manipular la caché DNC. Esto podría ser la configuración de un servidor DNS falso para que se envíen respuestas falsas cuando se le solicite. Hay muchas formas de envenenar una caché de DNS, y una de las formas más comunes es la suplantación de la caché de DNS.

Leer: Cómo saber si la configuración de DNS de su computadora se ha visto comprometida usando ipconfig.

Envenenamiento de la caché de DNS: prevención

No hay muchos métodos disponibles para prevenir el envenenamiento de la caché de DNS. El mejor método es amplíe sus sistemas de seguridad para que ningún atacante pueda comprometer su red y manipular la caché de DNS local. Utilizar un buen firewall que puede detectar ataques de envenenamiento de caché de DNS. Borrar la caché de DNS con frecuencia también es una opción que algunos de ustedes pueden considerar.

Además de ampliar los sistemas de seguridad, los administradores deben actualizar su firmware y software para mantener actualizados los sistemas de seguridad. Los sistemas operativos deben actualizarse con las últimas actualizaciones. No debe haber ningún enlace saliente de terceros. El servidor debe ser la única interfaz entre la red e Internet y debe estar detrás de un buen firewall.

los relaciones de confianza de los servidores en la red deben moverse hacia arriba para que no soliciten resoluciones de DNS a cualquier servidor. De esa manera, solo los servidores con certificados genuinos podrían comunicarse con el servidor de red mientras resuelven los servidores DNS.

los período de cada entrada en la caché de DNS debe ser corta para que los registros de DNS se obtengan con más frecuencia y se actualicen. Esto puede significar períodos de tiempo más prolongados de conexión a sitios web (a veces), pero reducirá las posibilidades de usar un caché envenenado.

Bloqueo de caché de DNS debe configurarse al 90% o más en su sistema Windows. El bloqueo de caché en Windows Server le permite controlar si se puede sobrescribir o no la información en la caché de DNS. Ver TechNet para más sobre esto.

Utilizar el Grupo de sockets DNS ya que permite que un servidor DNS utilice la aleatorización del puerto de origen al emitir consultas DNS. Esto proporciona una seguridad mejorada contra los ataques de envenenamiento de caché, dice TechNet.

Extensiones de seguridad del sistema de nombres de dominio (DNSSEC) es un conjunto de extensiones para Windows Server que agregan seguridad al protocolo DNS. Puedes leer más sobre esto aquí.

Hay dos herramientas que te pueden interesar: F-Secure Router Checker comprobará el secuestro de DNS y Herramienta de seguridad WhiteHat supervisa los secuestros de DNS.

Ahora lee: ¿Qué es el secuestro de DNS?

La observación y los comentarios son bienvenidos.

Envenenamiento y suplantación de caché de DNS

Contenido relacionado

Deja un comentario