Ataque DNS

Un ataque DNS es un exploit en el que un atacante se aprovecha de las vulnerabilidades del sistema de nombres de dominio (DNS).

Para entender cómo funcionan los ataques DNS, es importante entender primero cómo funciona el sistema de nombres de dominio. El DNS es un protocolo que traduce un nombre de dominio fácil de usar, como WhatIs.com, en la dirección IP fácil de usar para el ordenador 206.19.49.154.

Cuando un usuario final teclea el nombre de dominio fácil de usar WhatIs.com en el navegador de un cliente, un programa en el sistema operativo del cliente llamado DNS resolver busca la dirección IP numérica de WhatIs.com. En primer lugar, el resolver DNS comprueba su propia caché local para ver si ya tiene la dirección IP de WhatIs.com. Si no tiene la dirección, el resolver consulta a un servidor DNS para ver si conoce la dirección IP correcta de WhatIs.com. Los servidores DNS son recursivos, lo que significa simplemente que pueden consultarse entre sí para encontrar otro servidor DNS que conozca la dirección IP correcta o para encontrar el servidor DNS autorizado que almacena la asignación canónica del nombre de dominio WhatIs.com a su dirección IP. Tan pronto como el resolvedor localiza la dirección IP, devuelve la dirección IP al programa solicitante y almacena en caché la dirección para su uso futuro.

Aunque el DNS es bastante robusto, fue diseñado para la usabilidad, no para la seguridad, y los tipos de ataques al DNS que se utilizan hoy en día son numerosos y bastante complejos, aprovechando la comunicación de ida y vuelta entre clientes y servidores. Normalmente, los atacantes se aprovechan de la comunicación en texto plano entre los clientes y los tres tipos de servidores DNS. Otra estrategia de ataque muy popular consiste en entrar en el sitio web de un proveedor de DNS con credenciales robadas y redirigir los registros DNS.

Para reducir la posibilidad de un ataque DNS, los administradores de servidores deben utilizar la última versión del software DNS, supervisar constantemente el tráfico y configurar los servidores para duplicar, separar y aislar las distintas funciones DNS. Para defenderse de los ataques al DNS, los expertos recomiendan implementar la autenticación multifactorial cuando se realicen cambios en la infraestructura del DNS de la organización. El personal de operaciones también debe vigilar cualquier cambio asociado públicamente a sus registros DNS o a cualquier certificado digital asociado a su organización. Otra estrategia es desplegar las Extensiones de Seguridad del Sistema de Nombres de Dominio (DNSSEC), que refuerza la autenticación en el DNS mediante el uso de firmas digitales basadas en la criptografía de clave pública.

Vectores de ataque al DNS

Los tipos de ataques al DNS incluyen:

Ataque de día cero: el atacante explota una vulnerabilidad previamente desconocida en la pila del protocolo DNS o en el software del servidor DNS.

Envenenamiento de la caché: el atacante corrompe un servidor DSN sustituyendo una dirección IP legítima en la caché del servidor por la de otra dirección falsa para redirigir el tráfico a un sitio web malicioso, recopilar información o iniciar otro ataque. El envenenamiento de la caché también puede denominarse envenenamiento de DNS.

Denegación de servicio: un ataque en el que un bot malicioso envía más tráfico a una dirección IP objetivo del que los programadores que planificaron sus búferes de datos preveían que alguien podría enviar. El objetivo se vuelve incapaz de resolver solicitudes legítimas.

Denegación de servicio distribuida: el atacante utiliza una red de bots para generar cantidades masivas de solicitudes de resolución a una dirección IP objetivo.

Ampliación de DNS – el atacante se aprovecha de un servidor DNS que permite búsquedas recursivas y utiliza la recursión para propagar su ataque a otros servidores DNS.

Fast-flux DNS – el atacante intercambia registros DNS con extrema frecuencia para redirigir las peticiones DNS y evitar la detección.

Distribución de la información.