¿Que es un ataque DNS Poisoning Attack? (envenenamiento de DNS)

Publicado el 03 noviembre 2010 por Juan Rodriguez @subinet


Vamos a seguir hoy con las guías sobre seguridad o temas de redes, de la que ya hay bastante (o algo) de información por AQUI este tipo de post pienso que igual a algunos de vosotros/as queridos lectores os puede “sonar a chino”, por lo tanto desde aquí os digo que no os “cortéis” preguntad si tenéis cualquier tipo de duda por favor, yo estaré encantadisimo de poder ayudaros, así que, ante cualquier duda por pequeña o grande que sea no dudad y comentármelo.

Bien, empezamos…. un DNS Poisoning Attack (envenenamiento de DNS), también llamado DNS spoofing, es cuando un atacante es capaz de redirigir a una víctima a una página web diferente de la dirección que teclea en su navegador. Por ejemplo, un usuario escribe en el navegador www.google.com, pero en lugar de ser dirigido a los servidores de Google, se envía a un sitio fraudulento que puede parecerse al sitio de Google, pero es en realidad un sitio web falso controlado por el atacante. El atacante es capaz de hacer esto cambiando el protocolo de Internet (IP) que por lo general apunta a Google a la dirección IP falsa del atacante.

 

El Domain Name System (DNS) es necesario para que las máquinas en red pueden comunicarse entre sí. Las máquinas utilizan una única dirección IP para identificarse de la misma manera que se utiliza una dirección de calle para ubicar un negocio o una casa. Sin embargo, las personas conocemos y recordamos nombres como Google, Yahoo, o YouTube en lugar de una “difícil” dirección IP, como 67.13.142.130, que es más fácil para una máquina de entender. Los servidores de nombres de dominio (DNS) se utilizan para convertir los nombres de su dirección IP correspondiente y viceversa.

El sistema DNS es una base de datos masivo con miles de millones de nombres de dominio y direcciones IP. El sistema maneja miles de millones de peticiones diarias, como la gente que navega por Internet, cuando se envían correos electrónicos, cuando se crea un nuevo sitio web…. A pesar de que el sistema DNS se distribuye en todo el mundo, actúa como un único sistema.

 

Un ataque puede ocurrir mediante la modificación de las tablas de equipos que están almacenados en equipos locales. La tabla de host es la lista de dominios y direcciones IP que se utilizan para encontrar la dirección IP correcta cuando un usuario introduce un nombre de dominio del sitio. Si la tabla de llamada del sistema host no tiene la dirección IP correcta almacenada localmente a continuación, entra en contacto con un DNS externo para la dirección IP correcta. Si un atacante es capaz de comprometer las entradas en la tabla de la máquina se pueden dirigir los nombres de sitios web a cualquier dirección IP que deseen.

Otro método de realizar un ataque de envenenamiento de DNS en el cual el objetivo son los servidores DNS externos en sí mismos. Me refiero a los propios servidores externos de DNS de intercambio de información, incluyendo el nombre y el mapeo de la propiedad intelectual, entre las transferencias de unas zonas con otras. Los atacantes pueden configurar un servidor DNS con falsas entradas de direcciones IP de manera que si el servidor DNS objetivo acepta la transferencia de zona como auténtico, entonces se utilizará y distribuirá las falsas asignaciones de direcciones IP a los servidores DNS. Una forma de prevenir un ataque de envenenamiento de DNS es asegurar que la última versión del software de DNS, llamado Berkeley Internet Name Domain (BIND), este instalado y actualizado..