geekflare
Geekflare cuenta con el apoyo de nuestra audiencia. Podemos ganar comisiones de afiliados comprando enlaces en este sitio.
By Amos Kingatúa in Seguridad  |  Última actualización: 21 de noviembre de 2022
Comparte en:

¿Qué es el envenenamiento de la caché de DNS: cómo funciona y medidas de prevención?

dns
Escáner de seguridad de aplicaciones web Invicti – la única solución que ofrece verificación automática de vulnerabilidades con Proof-Based Scanning™.

El envenenamiento de la caché de DNS es la inyección de entradas falsas o falsificadas en la caché de DNS para desviar a los usuarios a sitios web maliciosos.

El envenenamiento de la caché de DNS es el resultado de vulnerabilidades que permiten a los delincuentes enviar respuestas de DNS falsificadas, que luego el servidor de nombres de dominio (DNS) almacena en sus cachés.

Por lo general, la entrada comprometida redirige al usuario a un sitio web falso que los atacantes utilizan para realizar actividades delictivas, como propagar malware o robar detalles de tarjetas de crédito, contraseñas, datos financieros y otros datos confidenciales. información privada.

Cuando ocurre un envenenamiento de la caché de DNS, el servidor de caché de DNS almacena la dirección ilegítima proporcionada por el atacante y luego la envía a los usuarios que solicitan el sitio web genuino. En la mayoría de los casos, esto puede parecer similar al sitio web auténtico, lo que dificulta que los visitantes sospechen que algo anda mal.

Impact of a DNS cache poisoning

DNS cache El envenenamiento, también conocido como falsificación de DNS, suele ser difícil de detectar y puede tener un gran impacto negativo, especialmente para sitios web populares o aplicaciones web con muchos visitantes o usuarios. Esto presenta un gran riesgo, especialmente en algunas industrias sensibles como la banca, la medicina, el comercio minorista en línea, el comercio electrónico y otras.

Por ejemplo, suponiendo que los atacantes logran cambiar el Registros DNS y direcciones IP para Amazon. Luego lo señalarán a un servidor diferente con una IP falsa que los atacantes controlan o poseen. Cualquiera que intente acceder al sitio web genuino de Amazon será redirigido a la dirección incorrecta, que puede contener programas maliciosos para robar información confidencial.

Imagen: Imperva

Además de los sitios web, un atacante puede insertar la dirección falsa de un servidor de correo electrónico u otras aplicaciones web, como aplicaciones bancarias. En consecuencia, estos redirigirían toda la correspondencia o las transacciones de correo electrónico comercial al servidor del atacante.

Dado que los cambios en el DNS se propagan regularmente de un servidor a otro, una caché envenenada puede extenderse a otros servidores y sistemas DNS, causando así mucho daño. Por ejemplo, la entrada falsificada puede extenderse rápidamente a otras máquinas, como los servidores DNS del ISP, que luego la almacenarán en su caché. A partir de aquí, se propaga aún más a los equipos cercanos al usuario, como los navegadores de las computadoras, los teléfonos móviles y los enrutadores, que también almacenarán ese registro incorrecto en sus cachés.

How does DNS cache poisoning work?

Los delincuentes pueden envenenar la caché de DNS utilizando diferentes técnicas.

Durante las operaciones normales, las solicitudes de DNS generalmente se almacenan o se almacenan en caché en una base de datos que los usuarios de sitios web pueden consultar en tiempo real. Generalmente, la base de datos DNS tiene una lista de los nombres de Internet y las direcciones IP correspondientes. Y esto hace que sea más fácil buscar sitios web y acceder a ellos utilizando nombres en lugar de direcciones IP, lo que puede ser muy difícil y confuso.

Por ejemplo, sin el sistema DNS, los usuarios tendrían que recordar la cadena de números que componen las direcciones IP de todos los sitios web que desean visitar o volver a visitar.

Desafortunadamente, el DNS tiene varias fallas de seguridad que los atacantes pueden explotar e insertar registros de direcciones de dominio de Internet falsos en el sistema. Por lo general, los delincuentes envían respuestas falsas al servidor DNS. Luego, el servidor responde al usuario que hizo la solicitud y, al mismo tiempo, los servidores legítimos almacenarán en caché el registro falso. Una vez que el servidor de caché DNS almacena el registro falso, todas las solicitudes posteriores para la entrada ahora comprometida recibirán una dirección para un servidor controlado por el atacante.

El envenenamiento de la caché de DNS implica la inserción de entradas corruptas en la base de datos de la caché del servidor de nombres DNS, y existen diferentes métodos que utilizan los atacantes. Éstos incluyen;

  • Cuando un usuario de un sitio web o aplicación web envía una solicitud para un determinado dominio a través de un navegador o una aplicación en línea, el servidor DNS primero verificará si la entrada existe en el caché. Si no se almacena, solicitará la información a los servidores DNS autorizados y luego esperará una respuesta. Durante algún tiempo, los atacantes aprovecharían este estrecho período de espera, asumirán temporalmente el papel de DNS de origen y emitirán una respuesta falsa antes de que el servidor autorizado envíe la dirección genuina. Sin embargo, dado que el período de espera suele ser muy corto, la tasa de éxito es muy baja.
  • Otro método consiste en enviar respuestas falsas desde un servidor DNS que se hace pasar por el legítimo. Debido a que generalmente no hay verificación de la información de DNS, los atacantes pueden falsificar la respuesta del sistema de resolución de DNS cuando consulta un servidor de nombres. Esto también es posible por el hecho de que los servidores DNS utilizan el Protocolo de datagramas de usuario (UDP) en lugar del TCP. Por lo general, la comunicación DNS es insegura debido a la información no cifrada en los paquetes UDP y la falta de autenticación. Esto facilita a los atacantes corromper las respuestas e insertar sus direcciones falsas.

DNS Vulnerabilities the attackers exploit

Las vulnerabilidades de seguridad en ciertas aplicaciones web, así como la falta de autenticación adecuada de los registros DNS, permiten a los ciberdelincuentes comprometer fácilmente las respuestas del DNS y pasar desapercibidos. Algunas de estas vulnerabilidades incluyen;

Falta de verificación y validación

El DNS tiene un diseño de confianza primero que no requiere la verificación de la dirección IP para confirmar que es genuina antes de enviar una respuesta. Dado que los solucionadores de DNS no verifican los datos en la caché, un registro incorrecto permanecerá allí hasta que se elimine manualmente o el TTL expire.

Vulnerabilidad recurrente del servidor DNS

Cuando la consulta recursiva está activa, el servidor DNS recibe una consulta y hace todo el trabajo de buscar la dirección correcta y enviar la respuesta a un usuario. Si no tiene el registro en su caché, consultará a otros servidores DNS en nombre del cliente hasta que obtenga la dirección y se la devuelva al usuario. Habilitar la consulta recursiva presenta una vulnerabilidad de seguridad que los atacantes pueden aprovechar para realizar el envenenamiento de la caché de DNS.

consulta recursiva dns
Imagen de consultas recursivas de DNS: Stackoverflow

Mientras el servidor busca la dirección, le brinda al atacante la oportunidad de interceptar el tráfico y proporcionar una respuesta falsa. El servidor DNS recursivo enviará la respuesta al usuario y, al mismo tiempo, guardará la IP falsa en la caché.

Falta de cifrado

Por lo general, el protocolo DNS no está encriptado, y esto facilita que los atacantes intercepten su tráfico. Además, los servidores no deben verificar las direcciones IP a las que dirigen el tráfico, por lo tanto, no pueden saber si es genuino o falso.

How to prevent DNS cache poisoning?

Gestión del riesgo monitoreo del DNS Los datos pueden ayudar a establecer si existen patrones, actividades del usuario o comportamientos inusuales, como visitar sitios web maliciosos. Y aunque es difícil detectar el envenenamiento de la caché de DNS, existen varias medidas de seguridad y prácticas que las empresas y los proveedores de servicios pueden tomar para evitar que suceda. Algunas de las medidas que previenen el envenenamiento de la caché de DNS incluyen el uso de DNSSEC, deshabilitar las consultas recursivas y más.

Limitar el nivel de relaciones de confianza

Una de las vulnerabilidades de las transacciones DNS son las relaciones de alta confianza entre los diferentes servidores DNS. Esto significa que los servidores no verifican la autenticidad de los registros que reciben, lo que permite a los atacantes incluso enviar respuestas falsas desde sus servidores ilegítimos.

Para evitar que los atacantes aprovechen esta falla, los equipos de seguridad deben limitar el nivel de relación de confianza que sus servidores DNS tienen con otros. La configuración de los servidores DNS para que no dependan de relaciones de confianza con otros servidores DNS dificulta que los ciberdelincuentes usen su servidor DNS para comprometer los registros de los servidores legítimos.

Hay muchas herramientas para verificar Riesgo de seguridad de DNS.

Utilice el protocolo DNSSEC.

Las extensiones de seguridad del sistema de nombres de dominio (DNSSEC) utilizan criptografía de clave pública para firmar los registros DNS, por lo que agregan una función de verificación y permiten que los sistemas determinen si una dirección es legítima o no. Esto ayuda a verificar y autenticar las solicitudes y respuestas y evitar así la falsificación.

En una operación típica, el protocolo DNSSEC asocia una firma criptográfica única a otra información de DNS, como los registros CNAME y A. Luego, el resolutor de DNS usa esta firma para autenticar la respuesta de DNS antes de enviarla al usuario.

DNSSEC Protección contra el envenenamiento de la caché de DNS
Imagen: Nic

Las firmas de seguridad garantizan que las respuestas a las consultas que reciben los usuarios sean autenticadas por el servidor de origen legítimo. Aunque DNSSEC puede prevenir el envenenamiento de la caché de DNS, tiene inconvenientes como la implementación compleja, la exposición de datos y la vulnerabilidad de enumeración de zonas en versiones anteriores.

¿No está seguro de tener DNSSEC habilitado en su dominio? Echa un vistazo al instante con Herramienta de prueba DNSSEC.

Utilice las últimas versiones del software DNS y BIND (dominio de nombres de Internet de Berkeley).

Una versión BIND 9.5.0 o superior generalmente tiene características de seguridad mejoradas, como ID de transacciones criptográficamente seguras y aleatorización de puertos, lo que ayuda a minimizar el envenenamiento de la caché de DNS. Además, los equipos de TI deben mantener actualizado el software DNS y asegurarse de que sea la versión más reciente y segura.

Además de lo anterior, los siguientes son otros medios o prácticas efectivos para prevenir el envenenamiento de la caché de DNS.

  • Configurar el servidor DNS para responder solo con la información relacionada con el dominio solicitado
  • Asegúrese de que el servidor de caché almacene solo los datos relacionados con el dominio solicitado
  • Hacer cumplir el uso de HTTP para todo el tráfico
  • Deshabilite la función de consultas recursivas de DNS

Conclusión

El envenenamiento de la caché de DNS desvía a los usuarios del dominio a malicioso direcciones lejos de su objetivo previsto. Algunos servidores controlados por atacantes pueden engañar a los usuarios desprevenidos para que descarguen malware o proporcionen contraseñas, información de tarjetas de crédito y otros datos privados confidenciales. Para evitar que esto suceda, es importante emplear las mejores prácticas de seguridad.

Gracias a nuestros patrocinadores
Más lecturas interesantes sobre seguridad
Impulse su negocio
Algunas de las herramientas y servicios para ayudar a que su negocio crezca.
  • invicti
    Invicti utiliza Proof-Based Scanning™ para verificar automáticamente las vulnerabilidades identificadas y generar resultados procesables en cuestión de horas.
    Prueba Invicti
  • Datos brillantes
    Web scraping, proxy residencial, administrador de proxy, desbloqueador web, rastreador de motores de búsqueda y todo lo que necesita para recopilar datos web.
    Prueba Brightdata
  • Semrush
    Semrush es una solución de marketing digital todo en uno con más de 50 herramientas en SEO, redes sociales y marketing de contenido.
    Prueba Semrush
  • Intruder
    Intruder es un escáner de vulnerabilidades en línea que encuentra debilidades de ciberseguridad en su infraestructura, para evitar costosas filtraciones de datos.
    Intente Intruder