El DNS^(DNS) es importante para resolver las URL^(URLs) que ingresa en la barra de direcciones de su navegador. Se dedica mucho trabajo a la resolución de nombres de dominio^{(Domain Name Resolution)} . Es una especie de operación recursiva que ayuda a su navegador a obtener la dirección IP del sitio web al que intenta acceder. Si está interesado, puede leer más sobre búsqueda de DNS y servidores^{(DNS Lookup and Servers)} .

El término Caché DNS^{(DNS Cache)} se refiere al caché local que contiene las direcciones IP resueltas de los sitios web que frecuenta. La idea de DNS Cache es ahorrar tiempo que, de otro modo, se gastaría en comunicarse con los servidores DNS que iniciarían un conjunto de operaciones recursivas para averiguar la dirección IP real de la URL a la que necesita llegar. Pero los ciberdelincuentes pueden envenenar este caché simplemente cambiando las entradas en su caché de DNS a direcciones IP falsas para los sitios web que utiliza.

¿Qué es el secuestro de DNS?

Como sugiere el nombre, el secuestro o redirección de ^{(Redirection)}DNS^{(DNS Hijacking)} es un método utilizado por los ciberdelincuentes para secuestrar el intento de su navegador de resolver la dirección IP del sitio web que desea cargar. Para facilitar su uso, las URL^(URLs) que utilizamos están en formato de texto. Para cada URL , hay una dirección IP y se realizan un conjunto de operaciones para convertir la URL de texto en una dirección IP numérica. Dado que hay muchas operaciones involucradas en la resolución de la dirección IP, los ciberdelincuentes pueden aprovechar la demora y enviar a su computadora una dirección IP falsa que les pertenece.

El método más común para el secuestro de DNS^{(common method for DNS Hijacking)} es instalar malware en su computadora que cambia el DNS para que cada vez que su navegador intente resolver una URL , se comunique con uno de los servidores ^(URL)DNS falsos en lugar de los servidores DNS reales que utiliza la ICANN (autoridad de Internet que se encarga de registrar dominios, administrarlos, proporcionarles direcciones IP, mantener las direcciones de contacto y más). Los servidores DNS^(DNS) directos con los que su computadora contacta son los servidores DNS operados por su proveedor de servicios de Internet:^{(Internet Service Provider –)}a menos que los haya cambiado a otra cosa. Cuando se compra una conexión a Internet, los servidores DNS en uso son del ISP, reconocido por la ICANN .

El malware en su computadora cambia el DNS predeterminado en el que confía su computadora para que apunte a otra dirección IP. De esa manera, cuando su navegador intente resolver una dirección IP, su computadora se comunica con un servidor DNS falso que le da la dirección IP incorrecta. Esto da como resultado que su navegador cargue un sitio web malicioso que puede comprometer su computadora o robar sus credenciales, etc.

Secuestro de DNS^{(DNS Hijacking)} frente a envenenamiento de caché de DNS^{(DNS Cache)}

Aunque ambos ocurren a nivel local, sus orígenes provienen de servidores DNS falsos . Mientras que el secuestro de DNS implica malware^{(DNS hijacking involves malware)} , el envenenamiento de caché de DNS implica sobrescribir su caché de DNS local con valores falsos^{(DNS Cache poisoning involves overwriting your local DNS cache with fake values)} que redirigen su navegador a sitios web maliciosos. El envenenamiento o falsificación de caché de DNS^{(DNS Cache Poisoning or Spoofing)} involucra técnicas como el bombardeo de direcciones IP falsas que su computadora capta mientras los servidores DNS genuinos todavía están ocupados resolviendo la URL . Es decir, en el tiempo que tardan los servidores DNS^(DNS) genuinos en resolver una URL , los ciberdelincuentes envían muchas respuestas que equiparan la URL con direcciones IP falsas.

Por ejemplo, escribe thewindowsclub.com en su navegador. En el momento en que un servidor DNS^(DNS) genuino busca las direcciones, su computadora recibe más de una resolución de que el sitio se encuentra en la dirección IP XYZ^{(XYZ IP)} . Esto hará que su computadora crea que el sitio está en XYZ a pesar de que el servidor DNS genuino envía la dirección IP genuina porque los servidores DNS de los ciberdelincuentes enviaron muchas respuestas que contenían una IP falsa para thewindowsclub.com .

Esta diferencia en el tiempo es utilizada de manera efectiva por los ciberdelincuentes que tienen muchos servidores DNS falsos para que su computadora anote direcciones IP incorrectas y maliciosas en el caché. Por lo tanto, una de las diez resoluciones DNS falsas enviadas por los servidores ^(DNS)DNS de los^{(’ DNS)} ciberdelincuentes tiene prioridad sobre una resolución DNS genuina enviada por los servidores DNS genuinos . Otros métodos de envenenamiento y prevención de caché de DNS^{(DNS Cache Poisoning)} se enumeran en el enlace proporcionado anteriormente.

Aunque el envenenamiento de caché^{(DNS Cache Poisoning)} de DNS y el secuestro^{(DNS Hijacking)} de DNS se usan indistintamente, hay una pequeña diferencia entre ellos. El método de envenenamiento de caché DNS^{(DNS Cache Poisoning)} no implica inyectar malware en su sistema informático, sino que se basa en diferentes métodos, como el explicado anteriormente, donde los servidores DNS falsos envían una resolución de URL más rápido que el servidor ^(URL)DNS genuino y, por lo tanto, el caché está envenenado. Una vez que el caché está envenenado, cuando usa un sitio web infectado, su computadora está comprometida. En el caso de DNS Hijacking , ya estás infectado. Un malware cambia su DNS predeterminado^(DNS)proveedor de servicios a algo que los ciberdelincuentes quieren. Y a partir de ahí, controlan sus resoluciones de URL (búsquedas de ^(URL)DNS ), y luego siguen envenenando su caché de DNS .

Cómo prevenir el secuestro de DNS

Ya hemos discutido cómo prevenir el envenenamiento de DNS^{(prevent DNS poisoning)} . Para detener o prevenir el secuestro de DNS^{(DNS Hijacking)} , se recomienda que utilice un buen software de seguridad^{(good security software)} que mantenga alejado el malware, como los cambiadores de DNS . Usando un buen Firewall . Aunque lo mejor es un cortafuegos basado en hardware, si no lo tiene, puede activar al menos el cortafuegos de su enrutador.

Si cree que ya está infectado, es mejor eliminar el contenido del archivo HOSTS^{(HOSTS file)}  y restablecer el archivo Hosts^{(reset the Hosts File)} . Después de hacer esto, continúe y use un antimalware que lo ayude a deshacerse de los Cambiadores de DNS .

Compruebe si algún cambiador de DNS ha cambiado su DNS . Si es así, debe cambiar la configuración de DNS^{(change your DNS settings)} . Puedes comprobarlo automáticamente. Alternativamente, puede verificar el DNS manualmente. Comience por verificar el DNS mencionado en el enrutador^(Router) y luego en computadoras individuales en su red. Recomendaría que vacíe su Windows DNS Cache y cambie el ^{(flush your Windows DNS Cache)}DNS de su enrutador a algún otro DNS como Comodo DNS , Open DNS, Google Public DNS, Yandex Secure DNS, Angel DNS, etc. Un DNS seguro^(DNS)en el router es mejor que configurar cada equipo.

Hay herramientas que pueden interesarle^{(There are tools that may interest you)} : F-Secure Router Checker verificará el secuestro de DNS , esta herramienta en línea verifica los secuestros de DNS y WhiteHat Security Tool monitorea los secuestros de DNS.

Ahora lea^{(Now read)} : ¿Qué es el secuestro de dominio y cómo recuperar un dominio secuestrado?

What is a DNS Hijacking attack & how to prevent it

DNS is important in resolving the URLs you enter into the address bar of your browser. A lot of work goes into Domain Name Resolution. It is a sort of recursive operation that helps your browser get the IP address of the website you are trying to reach out. If interested, you can read more about DNS Lookup and Servers.

The term DNS Cache refers to the local cache that contains the resolved IP addresses of websites that you frequent. The idea of DNS Cache is to save time that would otherwise be spent on contacting DNS servers that would start a set of recursive operations to find out the actual IP address of the URL you need to reach. But this cache can be poisoned by cybercriminals simply by changing the entries in your DNS cache to fake IP addresses for the websites you use.

What is DNS Hijacking

As the name suggests, DNS Hijacking or Redirection is a method used by cybercriminals to hijack your browser’s attempt to resolve the IP address of the website you wish to load. For ease of use, the URLs we use are in text format. For each URL, there is an IP address, and a set of operations go into converting the text URL into a numerical IP address. Since there are many operations involved in resolving the IP address,  cybercriminals can take advantage of the delay and send to your computer, a fake IP address that belongs to them.

The most common method for DNS Hijacking is to install malware on your computer that changes the DNS so that whenever your browser tries to resolve a URL, it contacts one of the fake DNS servers instead of real DNS servers that are used by ICANN (authority of Internet that is responsible for registering domains, managing them, providing them with IP addresses, maintaining the contact addresses and more). The direct DNS servers that your computer contacts are the DNS servers being operated by your Internet Service Provider – unless you’ve changed them to something else. When an internet connection is bought, the DNS servers in use are of the ISP – recognized by ICANN.

The malware on your computer changes the default DNS trusted by your computer to point to some other IP address. That way, when your browser tries to resolve an IP address, your computer contacts a fake DNS server that gives you the wrong IP address. This results in your browser loading a malicious website that may compromise your computer or steal your credentials etc.

DNS Hijacking vs. DNS Cache Poisoning

Though both happen at the local level, their origins are from fake DNS servers. While DNS hijacking involves malware, DNS Cache poisoning involves overwriting your local DNS cache with fake values that redirect your browser to malicious websites. DNS Cache Poisoning or Spoofing involves techniques such as the bombardment of fake IP addresses that your computer picks up while the genuine DNS servers are still busy resolving the URL. That is, in the time that takes by genuine DNS servers to resolve a URL, the cybercriminals send plenty of responses that equate the URL with fake IP addresses.

For example, you type thewindowsclub.com in your browser. By the time a genuine DNS server looks up the addresses, your computer receives more than one resolution that the site is at XYZ IP address. This will make your computer believe that the site is at XYZ even though the genuine DNS server sends the genuine IP address because the cybercriminals’ DNS servers sent many responses containing a fake IP for thewindowsclub.com.

This difference in time is used effectively by cybercriminals who have many fake DNS servers to get your computer note down wrong and malicious IP addresses to the cache. So one out of the ten fake DNS resolutions sent by cybercriminals’ DNS servers takes precedence over one genuine DNS resolution sent by the genuine DNS servers. Other methods of DNS Cache Poisoning and prevention are listed in the link provided above.

Though DNS Cache Poisoning and DNS Hijacking are used interchangeably, there is a small difference between them. The method of DNS Cache Poisoning does not involve injecting malware into your computer system but is based on different methods like the one explained above where fake DNS servers send a URL resolution faster than the genuine DNS server and thus the cache is poisoned. Once the cache is poisoned, when you use an infected website, your computer is compromised. In the case of DNS Hijacking, you are already infected. A malware changes your default DNS service provider to something that the cybercriminals want. And from there, they control your URL resolutions (DNS lookups), and then they keep on poisoning your DNS cache.

How to prevent DNS Hijacking

We have discussed how to prevent DNS poisoning already. To stop or prevent DNS Hijacking, it is recommended that you use good security software that keeps malware such as DNS changers away. Using a good Firewall. While a hardware-based firewall is best, if you do not have it, you could turn on your router firewall at the least.

If you think you are already infected, it is better to delete the contents of the HOSTS file and reset the Hosts File. After doing this, go ahead and use antimalware that helps you get rid of DNS Changers.

Check if any DNS changer has changed your DNS. If it has, you should change your DNS settings. You can check it automatically. Alternatively, you can check for the DNS manually. Start by checking the DNS mentioned in Router and then in individual computers on your network. I would recommend that you flush your Windows DNS Cache and change your router DNS to some other DNS like Comodo DNS, Open DNS, Google Public DNS, Yandex Secure DNS, Angel DNS, etc. A secure DNS in the router is better than configuring each computer.

There are tools that may interest you: F-Secure Router Checker will check for DNS hijacking, this online tool checks for DNS Hijackings, and WhiteHat Security Tool monitors DNS hijackings.

Now read: What is Domain Hijacking and how to recover a hijacked domain.

Related posts

• Best Servicios gratuitos de Dynamic DNS en la web que debe estar usando

• Windows no puede comunicarse con el device or resource (servidor DNS)

• DNSLookupView es un DNS Lookup Tool gratuito para computadoras Windows

• Cómo habilitar DNS sobre HTTPS en Windows 10

• Cómo cambiar la configuración de DNS Server en Xbox One para hacerlo más rápido

• DNS_PROBE_FINISHED_NXDOMAIN error en Chrome en Windows 10

• Cómo configurar Google Public DNS en su computadora

• Cómo ver DNS cache contenidos en Windows 10

• Release TCP/IP, Flush DNS, Reset Winsock, Reset Proxy con Batch File

• ¿Qué es el DNS and How privado para usarlo?

• Cómo cambiar la configuración de DNS en Windows 10 fácilmente

• Cómo cambiar DNS server usando Command Prompt and PowerShell

• Cómo habilitar el DNS Client Service si se gris en Windows 10

• GRATIS DNS Lookup Tools & Online services

• No se puede cambiar Static IP address & DNS server en Windows 10

• Cómo Flush and Reset El DNS Cache en Windows 10

• Su DNS Server podría no estar disponible en Windows 10

• DNS Benchmark: Optimiza tu Internet Connection para la velocidad

• ¿Qué es un servidor DNS de terceros? 8 razones para usar servidores DNS públicos

• 3 Ways para cambiar la configuración de DNS en Windows 10