Entender el trabajo los servidores DNS y su funcionamiento, nos servirá para comprender un poquito los diferentes tipos de ataques asociados.
http://www.welivesecurity.com/2017/02/27/dns-attacks-try-direct-fake-pages/
Traducción Google:
Los servidores DNS son esenciales para el funcionamiento normal de la Internet como la conocemos y amamos, pero tienden a ir desapercibido por la mayoría de los usuarios. Al menos, esto es, hasta que algún tipo de ataque o incidente ocurre que les impide trabajar normalmente, lo que da lugar a los servicios que utilizamos todos los días comenzando a fallar (algo que sucedió hace poco, cuando la red de bots Mirai atacó una compañía llamada DynDNS).
Una cosa es segura es que hay más de un tipo de ataque que puede afectar a estos servidores de aplicaciones y en este artículo vamos a ver las diferencias entre ellos.
¿Qué es un servidor DNS?
El sistema de nombres de dominio (DNS para abreviar) es lo que nos permite resolver el nombre de una página web a través de su dirección IP . De esta manera, ya que los usuarios, que no es necesario recordar la secuencia de números que componen una dirección IP (o números y letras en IPV6) y se puede acceder, por ejemplo, una página web como «www.facebook.com» por escribirlo así en nuestro navegador, en lugar de entrar «31.13.92.36».
La resolución de este nombre fácil de usar en una dirección IP es el trabajo de los servidores DNS, lo que hacen refiriéndose a una base de datos distribuida jerárquica que almacena información sobre la dirección IP que corresponde al nombre de dominio, que, entre otras cosas. Este sistema hace que sea más fácil de recordar direcciones de sitios web, y también significa que la dirección IP se puede cambiar si es necesario.
Sabiendo la importancia de estos servidores son, no es de extrañar que muchos ataques intentan explotar las vulnerabilidades ya sea en ellos o en la forma en que los usuarios los utilizan.
DNS Spoofing vs DNS Cache Envenenamiento
A menudo interpretado como el mismo tipo de ataque, en la realidad estas dos técnicas son técnicamente diferentes uno del otro. En términos generales, podríamos decir que el envenenamiento de caché DNS es una de las muchas maneras de lograr la suplantación de DNS, que se refiere a la amplia gama de ataques existentes destinadas a suplantar a la información almacenada en los servidores DNS.
DNS Spoofing representaría el fin último del ataque (para lograr cambiar los registros almacenados en el servidor DNS de cualquier manera el atacante decide), para lo cual se utilizan diferentes mecanismos. Incluyen DNS cache poisoning, sino también los ataques man-in-the-middle, el uso de estaciones base falsas, e incluso poner en peligro la seguridad del servidor DNS.
También podemos ver ejemplos de falsificación de DNS en los ataques dirigidos a los usuarios. Una de ellas sería suplantar la dirección de los servidores DNS configurados en nuestro sistema operativo o router. La forma más habitual consiste en introducir la dirección de los servidores DNS de nuestro proveedor de servicios de Internet, o los de otra organización, como Google, como podemos ver a continuación:
DNS Cache envenenamiento se refiere a la situación en la que muchos usuarios finales utilizan la misma memoria caché, en donde los registros que se almacenan correlato cada dirección IP con un dominio. En el caso de que un atacante logra manipular una entrada DNS en este registro, los proveedores de servicios de Internet que utilizan este caché lo aceptarían como auténtico, incluso si ha sido manipulado para que apunte a un sitio web falso.
En tal caso, lo que tendríamos es un envenenado caché DNS que no redirigir el tráfico a la dirección IP legítima para convertir los nombres de dominio. Obviamente, este tipo de envenenamiento de caché no es tan fácil como con la memoria caché existente en un sistema o router, pero técnicamente es posible y hay precedentes.
Uno de los principales problemas de ataques de envenenamiento de caché DNS es que pueden propagarse entre los diferentes servidores DNS, y por lo tanto con el tiempo pueden afectar a los routers domésticos también, incluyendo la caché DNS existente en el sistema del usuario, como el router podría recibir esta información incorrecta y actualizar su caché local con él.
Para llevar a cabo este tipo de ataque, el atacante necesita un servidor web y un servidor DNS, la configuración de su propio DNS con autoridad y un dominio trampa. A partir de ese momento, el atacante necesita primero en llegar a la víctima a acceder con su propio DNS el enlace con el dominio trampa, para luego empezar a reunir los identificadores de la transacción hasta que estén en una posición en la que pueden predecir lo que el siguiente estarán.
Llegados a este punto, el DNS de la víctima se verá obligado a hacer una petición al DNS autorizado del atacante, que puede estar apuntando a un dominio suplantar un sitio web bancario. Ahora que el atacante ha descubierto lo que será el nuevo ID de transacción, pueden enviar paquetes a tratar de suplantar las conexiones legítimas que el usuario recibe cuando intentan conectarse a su banco.
Debido a que el atacante puede predecir el ID de transacción correcta, el DNS de la víctima almacena la entrada suplantado en su caché y lo aceptan como válidos. A partir de este momento, cualquier intento por parte de la víctima para acceder a la página web de su banco va a dar lugar a que se redirige a la página web controlado por el atacante.
¿Qué pasa con el secuestro de DNS?
El malware también se puede utilizar para afectar a la resolución de nombres de dominio de modo que las víctimas conectan a un servidor controlado por los criminales. Hay ejemplos de malware como Win32 / DNSChanger , que modifican las DNS establecidos por el usuario o nuestro proveedor de servicios de Internet. Podemos ver cómo funcionan en la siguiente imagen:
| FUNCIÓNamiento normales | Operación normal |
|---|---|
| Servidor DNS | servidor DNS |
| Víctima | Víctima |
| Servidor web | Servidor web |
| Consulta por www.ejemplo.com | Mira hacia arriba www.example.com |
| Respuesta Servidor Web | servidor Web responde |
| Acceso a sítio legítimo | Accede a la web legal |
| Víctima de las Naciones Unidas de suplantación en DNS locales | Víctima de suplantación de DNS local |
|---|---|
| Víctima | Víctima |
| Servidor DNS | servidor DNS |
| Atacante malicioso rol de DNS | papel de atacante DNS malicioso |
| Servidor malicioso | servidor malicioso |
| Acceso a sítio malicioso | Accesos sitio web malicioso |
| Consulta por www.ejemplo.com | Mira hacia arriba www.example.com |
| Respuesta malicioso Servidor | servidor malicioso responde |
Esto permite al atacante para llevar a cabo una amplia variedad de ataques, que van desde el phishing – en otras palabras, el uso de sitios web falsos , que las visitas víctima pensando que son reales (de haberlos accede introduciendo la dirección correcta en su navegador) – con el uso de exploits para aprovechar las vulnerabilidades mientras que el usuario está navegando por lo que creen que se puede confiar en las páginas web, pero que, de hecho, han sido generados por el atacante con el fin de infectar al usuario.
El ejemplo más claro, sin embargo, es la de las redes de ordenadores zombis, también conocido como botnets . Una gran cantidad de estos modificar los servidores DNS que sus víctimas han configurado, por lo que apuntan a otros controlados por los atacantes. De esta manera, además de las acciones maliciosas que ya hemos descrito, los delincuentes pueden enviar comandos a los robots, actualizar la versión del software malicioso, o incluso eliminarlo del sistema si es necesario.
Conclusión
Como hemos visto, existen numerosos tipos de ataques que pueden detener un dominio de haberse resuelto correctamente y hacer que los usuarios caigan involuntariamente en las trampas colocadas por los criminales, pensando que están accediendo a un sitio legítimo. Para evitar este tipo de amenazas, la inversión en una buena solución de seguridad se recomienda, y, si es posible, uno que incluye una herramienta para el monitoreo de la seguridad de su router.
Y hablando de los routers, que nunca es una mala idea para comprobar si la seguridad de su router es adecuada. Siempre es aconsejable asegurarse de que no esté correctamente actualizado y configurado, para que nadie pueda acceder a ella sin autorización, y debe evitar el uso de contraseñas débiles o tener activados los servicios que permiten conexiones remotas en el router.
Latest posts by Jose Miguel (see all)
- Curso básico de ciberseguridad: Módulo 6 - 8 marzo, 2025
- Curso básico de ciberseguridad: Módulo 5 - 1 marzo, 2025
- Curso básico de Ciberseguridad: Módulo 4 - 28 diciembre, 2024
- Curso Básico de Ciberseguridad. Módulo 3 - 21 diciembre, 2024
- Episodio 7: Qué es el ‘Scareware’ - 29 noviembre, 2024
Debe estar conectado para enviar un comentario.