Envenenamiento y falsificación de caché de DNS: ¿qué es?

DNS significa Sistema de nombres de dominio(Domain Name System) , y esto ayuda a un navegador a averiguar la dirección IP de un sitio web para que pueda cargarlo en su computadora. El caché de DNS(DNS cache) es un archivo en su computadora o la de su ISP que contiene una lista de direcciones IP de sitios web que se usan regularmente. Este artículo explica qué es el envenenamiento de caché de DNS y la(DNS) falsificación de DNS .

Envenenamiento de caché de DNS

Cada vez que un usuario escribe la URL de un sitio web en su navegador, el navegador contacta con un archivo local ( caché de DNS(DNS Cache) ) para ver si hay una entrada para resolver la dirección IP del sitio web. El navegador necesita la dirección IP de los sitios web para poder conectarse al sitio web. No puede simplemente usar la URL para conectarse directamente al sitio web. Debe resolverse en una dirección IP IPv4 o IPv6 adecuada. Si el registro está allí, el navegador web lo utilizará; de lo contrario, irá a un servidor DNS para obtener la dirección IP. Esto se llama búsqueda de DNS(DNS lookup) .

Se crea un caché de DNS en su computadora o en la computadora del servidor DNS de su (DNS)ISP para que se reduzca la cantidad de tiempo dedicado a consultar el DNS de una URL . Básicamente(Basically) , las cachés de DNS son pequeños archivos que contienen la dirección IP de diferentes sitios web que se usan con frecuencia en una computadora o red. Antes de comunicarse con los servidores DNS , las computadoras en una red se comunican con el servidor local para ver si hay una entrada en el caché DNS . Si hay uno, las computadoras lo usarán; de lo contrario, el servidor se pondrá en contacto con un servidor DNS y obtendrá la dirección IP. Luego actualizará el DNS local.(DNS)caché con la última dirección IP del sitio web.

Cada entrada en un caché de DNS tiene un límite de tiempo establecido, según los sistemas operativos y la precisión de las resoluciones de DNS . Después de que expire el período, la computadora o el servidor que contiene el caché de DNS se comunicará con el servidor de (DNS)DNS y actualizará la entrada para que la información sea correcta.
Sin embargo, hay personas que pueden envenenar la caché de DNS para actividades delictivas.

Envenenar el caché(Poisoning the cache) significa cambiar los valores reales de las URL(URLs) . Por ejemplo, los ciberdelincuentes pueden crear un sitio web que parezca, por ejemplo, xyz.com e ingresar su registro DNS en su caché de DNS . Por lo tanto, cuando escribe xyz.com en la barra de direcciones del navegador, este último tomará la dirección IP del sitio web falso y lo llevará allí, en lugar del sitio web real. Esto se llama Pharming . Con este método, los ciberdelincuentes pueden robar sus credenciales de inicio de sesión y otra información, como detalles de la tarjeta, números de seguro social, números de teléfono y más para el robo de identidad(identity theft) . DNSel envenenamiento también se realiza para inyectar malware en su computadora o red. Una vez que ingresa a un sitio web falso que usa un caché de DNS envenenado , los delincuentes pueden hacer lo que quieran.

A veces, en lugar del caché local, los delincuentes también pueden configurar servidores DNS falsos para que, cuando se les pregunte, puedan proporcionar direcciones IP falsas. Este es un envenenamiento de DNS(DNS) de alto nivel y corrompe la mayoría de las cachés de DNS en un área en particular, lo que afecta a muchos más usuarios.

Lea acerca de(Read about) : DNS seguro de Comodo | DNS abierto(OpenDNS) | DNS público de Google(Google Public DNS) | DNS seguro de Yandex(Yandex Secure DNS) | Ángel DNS.

Falsificación de caché de DNS

Envenenamiento y falsificación de caché de DNS

DNS spoofing is a type of attack that involves impersonation of DNS server responses in order to introduce false information. In a spoofing attack, a malicious user attempts to guess that a DNS client or server has sent a DNS query and is waiting for a DNS response. A successful spoofing attack will insert a fake DNS response into the DNS server’s cache, a process known as cache poisoning. A spoofed DNS server has no way of verifying that DNS data is authentic, and will reply from its cache using the fake information.

DNS Cache Spoofing suena similar a DNS Cache Poisoning , pero hay una pequeña diferencia. La suplantación de caché de DNS(DNS Cache Spoofing) es un conjunto de métodos utilizados para envenenar una caché de DNS . Esto podría ser una entrada forzada al servidor de una red informática para modificar y manipular el caché DNC . Esto podría estar configurando un servidor DNS falso para que se envíen respuestas falsas cuando se consulte. Hay muchas formas de envenenar una caché de DNS , y una de las más comunes es la falsificación de (DNS)caché de DNS(DNS Cache Spoofing) .

Leer(Read) : Cómo averiguar si la configuración de DNS de su computadora se ha visto comprometida usando ipconfig.

Envenenamiento de caché de DNS: prevención

No hay muchos métodos disponibles para evitar el envenenamiento de la caché de DNS . (DNS Cache)El mejor método es escalar sus sistemas de seguridad(scale up your security systems) para que ningún atacante pueda comprometer su red y manipular el caché de DNS local. (DNS)Use un buen firewall(good firewall) que pueda detectar ataques de envenenamiento de caché de DNS . Borrar la caché de DNS(Clearing the DNS cache)(Clearing the DNS cache) con frecuencia también es una opción que algunos de ustedes pueden considerar.

Además de ampliar los sistemas de seguridad, los administradores deben actualizar su firmware y software(update their firmware and software) para mantener los sistemas de seguridad actualizados. Los sistemas operativos deben estar parcheados con las últimas actualizaciones. No debe haber ningún enlace saliente de terceros. El servidor debe ser la única interfaz entre la red e Internet y debe estar protegido por un buen firewall.

Las relaciones de confianza de los servidores(trust relations of servers) en la red deben subir más para que no soliciten resoluciones de DNS a cualquier servidor . De esa forma, solo los servidores con certificados genuinos podrían comunicarse con el servidor de red mientras resuelven los servidores DNS .

El período(period) de cada entrada en la caché de DNS debe ser corto para que los registros de DNS se obtengan con más frecuencia y se actualicen. Esto puede significar períodos de tiempo más largos para conectarse a sitios web (a veces), pero reducirá las posibilidades de usar un caché envenenado.

El bloqueo de caché de DNS(DNS Cache Locking) debe configurarse al 90 % o más en su sistema Windows . El bloqueo de caché en (Cache)Windows Server le permite controlar si la información en el caché de DNS se puede sobrescribir o no. Consulte TechNet para obtener más información sobre esto.

Utilice el grupo de sockets DNS(DNS Socket Pool) , ya que permite que un servidor DNS utilice la aleatorización del puerto de origen al emitir consultas DNS . Esto proporciona una mayor seguridad contra los ataques de envenenamiento de caché, dice TechNet .

Las extensiones de seguridad del sistema de nombres de dominio (DNSSEC)(Domain Name System Security Extensions (DNSSEC)) son un conjunto de extensiones para Windows Server que agregan seguridad al protocolo DNS . Puedes leer más sobre esto aquí(here) .

Hay dos herramientas que pueden interesarle(There are two tools that may interest you) : F-Secure Router Checker verificará el secuestro de DNS y WhiteHat Security Tool monitorea los secuestros de DNS.

Ahora lea: (Now read:) ¿Qué es el secuestro de DNS(What is DNS Hijacking) ?

Observaciones y comentarios son bienvenidos.(Observation and comments are welcome.)



Mercedes Jimenez

About the author

Soy ingeniero de software con más de 10 años de experiencia en el campo de la ingeniería de Windows. Me especializo en el desarrollo de aplicaciones basadas en Windows, así como en hardware y controladores de sonido para el sistema operativo Windows de próxima generación de Microsoft, Windows 11. Mi experiencia en la creación de aplicaciones de Windows me convierte en un activo especialmente valioso para cualquier empresa que busque desarrollar productos tecnológicos innovadores.


Related posts