Requisito previo: servidor de nombres de dominio , falsificación de DNS o envenenamiento de la caché de DNS El
servidor de nombres de dominio es un componente importante de Internet. Está desarrollado como un sistema para convertir nombres alfabéticos en direcciones IP, lo que permite a los usuarios acceder a sitios web e intercambiar correos electrónicos. El DNS está organizado en una infraestructura similar a un árbol donde el primer nivel contiene los dominios más importantes, como .com y .org . Los Nodes de segundo nivel contienen nombres de dominio generales y tradicionales. Los Nodes ‘hoja’ de este árbol se conocen como hosts.
DNS funciona de manera similar a una base de datos a la que acceden millones de sistemas informáticos para tratar de identificar qué dirección es más probable que resuelva la consulta de un usuario.
En los ataques de DNS, los piratas informáticos a veces se dirigen a los servidores que contienen los nombres de dominio. En otros casos, estos atacantes intentarán determinar las vulnerabilidades dentro del propio sistema y explotarlas por su propio bien.
Tipos de ataques:
- Denegación de servicio (DoS):
un ataque en el que el atacante inutiliza una computadora (inaccesible) para el usuario haciendo que un recurso no esté disponible o inundando el sistema con tráfico. - Denegación de servicio distribuida (DDoS):
el atacante controla una cantidad abrumadora de computadoras (cientos o miles) para propagar malware e inundar la computadora de la víctima con tráfico innecesario y sobrecargado. Eventualmente, incapaces de aprovechar la potencia necesaria para manejar el procesamiento intensivo, los sistemas se sobrecargarán y colapsarán. - Suplantación de DNS (también conocida como envenenamiento de caché de DNS):
un atacante alejará el tráfico de los servidores DNS reales y los redirigirá a un servidor «pirata», sin que los usuarios lo sepan. Esto puede causar la corrupción/robo de los datos personales de un usuario. - Flujo rápido:
un atacante normalmente suplantará su dirección IP mientras realiza un ataque. Fast flux es una técnica para cambiar constantemente los datos basados en la ubicación para ocultar de dónde proviene exactamente el ataque. Esto enmascarará la ubicación real del atacante, dándole el tiempo necesario para explotar el ataque. El fundente puede ser simple o doble o de cualquier otra variante. Un solo flujo cambia la dirección del servidor web, mientras que el doble flujo cambia tanto la dirección del servidor web como los nombres de los servidores DNS. - Ataques reflejados: los
atacantes enviarán miles de consultas mientras falsifican su propia dirección IP y utilizan la dirección de origen de la víctima. Cuando estas consultas sean respondidas, todas serán redirigidas a la propia víctima. - DoS de amplificación reflexiva:
cuando el tamaño de la respuesta es considerablemente mayor que la consulta en sí, se activa un flujo que provoca un efecto de amplificación. Esto generalmente usa el mismo método que un ataque reflejado, pero este ataque abrumará aún más la infraestructura del sistema del usuario.
Medidas contra ataques DNS:
- Utilice firmas y certificados digitales para autenticar sesiones con el fin de proteger los datos privados.
- Actualice regularmente y use las últimas versiones de software, como BIND. BIND es un software de código abierto que resuelve consultas de DNS para los usuarios. Es ampliamente utilizado por la gran mayoría de los servidores DNS en Internet.
- Instale los parches apropiados y corrija los errores defectuosos con regularidad.
- Replique los datos en algunos otros servidores, de modo que si los datos se dañan o se pierden en un servidor, se pueden recuperar de los demás. Esto también podría evitar fallas en un solo punto.
- Bloquee las consultas redundantes para evitar la suplantación de identidad.
- Limite el número de consultas posibles.