Definición de DNS Spoofing (envenenamiento o suplantación de DNS)

Anuncios

La suplantación DNS (del inglés DNS Spoofing), también conocida como envenenamiento de caché DNS, es una forma de piratería de seguridad informática en la que se introducen datos corruptos del Sistema de nombres de dominio (DNS) en la caché del resolutor DNS, haciendo que el servidor de nombres devuelva un registro de resultados incorrecto, por ejemplo, una dirección IP. Esto provoca que el tráfico se desvíe a la computadora del atacante (o a cualquier otra computadora).


Funcionamiento básico

Un servidor del sistema de nombres de dominio traduce un nombre de dominio legible para el ser humano (como alegsa.com.ar) en una dirección IP numérica que se usa para enrutar las comunicaciones entre los nodos. Normalmente, si el servidor no conoce una traducción solicitada, le preguntará a otro servidor, y el proceso continúa de forma recursiva. Para aumentar el rendimiento, un servidor normalmente recordará (caché) estas traducciones durante un cierto período de tiempo. Esto significa que si recibe otra solicitud para la misma traducción, puede responder sin necesidad de preguntar a ningún otro servidor, hasta que ese caché caduque.

Cuando un servidor DNS ha recibido una traducción falsa y la almacena en caché para la optimización del rendimiento, se considera envenenada y proporciona los datos falsos a los clientes. Si un servidor DNS está envenenado, puede devolver una dirección IP incorrecta, desviando el tráfico a otra computadora (a menudo la de un atacante).


Ataques de envenenamiento de caché

Normalmente, una computadora en red utiliza un servidor DNS proporcionado por un proveedor de servicios de Internet (ISP) o la organización del usuario de la computadora. Los servidores DNS se utilizan en la red de una organización para mejorar el rendimiento de la respuesta de resolución mediante el almacenamiento en caché de los resultados de consultas obtenidos previamente. Los ataques de envenenamiento en un único servidor DNS pueden afectar a los usuarios atendidos directamente por el servidor comprometido o aquellos atendidos indirectamente por su servidor descendente, si corresponde.

Para realizar un ataque de envenenamiento de caché, el atacante explota las fallas en el software DNS. Un servidor debe validar correctamente las respuestas de DNS para garantizar que sean de una fuente autorizada (por ejemplo, mediante el uso de DNSSEC); de lo contrario, el servidor podría terminar almacenando en caché las entradas incorrectas localmente y servirlas a otros usuarios que hacen la misma solicitud.

Este ataque se puede usar para redirigir a los usuarios de un sitio web a otro sitio que elija el atacante.

Por ejemplo, un atacante falsifica las entradas DNS de la dirección IP para un sitio web objetivo en un servidor DNS dado y las reemplaza con la dirección IP de un servidor bajo su control. El atacante luego crea archivos en el servidor bajo su control con nombres que coinciden con los del servidor de destino. Estos archivos generalmente contienen contenido malicioso, como gusanos informáticos o virus.

Un usuario cuya computadora ha hecho referencia al servidor DNS envenenado es engañado para que acepte contenido proveniente de un servidor no auténtico y sin saberlo descarga el contenido malicioso.

Esta técnica también se puede usar para ataques de phishing, donde se crea una versión falsa de un sitio web genuino para recopilar detalles personales, como detalles bancarios y de tarjetas de crédito / débito.


Prevención y mitigación

Muchos ataques de envenenamiento de caché contra servidores DNS pueden evitarse al desconfiar de la información que otros servidores DNS les pasan e ignorar cualquier registro DNS pasado que no sea directamente relevante para la consulta. Por ejemplo, las versiones de BIND 9.5.0-P1 y superiores realizan estas comprobaciones.

La aleatorización del puerto de origen para solicitudes DNS, combinada con el uso de números aleatorios criptográficamente seguros para seleccionar tanto el puerto de origen como el nonce criptográfico de 16 bits, puede reducir en gran medida la probabilidad de ataques exitosos de DNS.

Sin embargo, cuando los enrutadores, firewalls, proxies y otros dispositivos de puerta de enlace realizan la traducción de direcciones de red (NAT), o más específicamente, la traducción de direcciones de puertos (PAT), pueden reescribir puertos de origen para rastrear el estado de la conexión. Al modificar los puertos de origen, los dispositivos PAT pueden eliminar la aleatoriedad del puerto de origen implementada por los servidores de nombre y los resolvedores de resguardo.

DNS seguro (DNSSEC) utiliza firmas digitales criptográficas firmadas con un certificado de clave pública de confianza para determinar la autenticidad de los datos. DNSSEC puede contrarrestar los ataques de envenenamiento de caché, pero a partir de 2008 aún no se ha implementado ampliamente. En 2010 DNSSEC se implementó en los servidores de la zona raíz de Internet.

Este tipo de ataque se puede mitigar en la capa de transporte o capa de aplicación realizando la validación de extremo a extremo una vez que se establece una conexión.

Un ejemplo común de esto es el uso de Transport Layer Security y las firmas digitales. Por ejemplo, al usar HTTPS (la versión segura de HTTP), los usuarios pueden verificar si el certificado digital del servidor es válido y si pertenece al propietario esperado de un sitio web.

De forma similar, el programa de inicio de sesión remoto de shell seguro comprueba los certificados digitales en los puntos finales (si se conocen) antes de continuar con la sesión.

Para las aplicaciones que descargan actualizaciones automáticamente, la aplicación puede incrustar una copia del certificado de firma localmente y validar la firma almacenada en la actualización de software contra el certificado incrustado.


Terminología relacionada

• Phishing

• DNS

• HTTPS