Por Abhishek Ghosh 14 de febrero de 2024 4:42 pm Actualizado el 14 de febrero de 2024Anuncio La suplantación de DNS y el envenenamiento de la caché son ataques de seguridad de TI al sistema de nombres de dominio para falsificar la asignación entre un nombre de dominio y su dirección IP. El objetivo es desviar el tráfico hacia otro ordenador de forma inadvertida, para, por ejemplo, realizar un ataque de phishing o pharming. Si el tráfico se dirige a un destino inalcanzable, se puede utilizar para llevar a cabo un ataque de denegación de servicio. Los términos suplantación de DNS y envenenamiento de caché provienen de diferentes métodos de ataque, pero tienen el mismo propósito. El envenenamiento de la caché se refiere a ataques en los que se inyectan registros de recursos falsificados en la caché DNS de la víctima. La suplantación de DNS se refiere a ataques en los que se envían registros de recursos falsos mediante suplantación de IP. Un ataque relacionado es el secuestro de DNS, en el que un solucionador de DNS devuelve respuestas falsas. Un método de ataque de envenenamiento de caché histórico es la adición de registros DNS falsificados adicionales a respuestas DNS legítimas. Si el solicitante toma el control de los registros de recursos de la respuesta sin verificarlos, se pueden introducir registros de recursos falsos para cualquier nombre de dominio en la caché de DNS. Cómo funciona En el DNS público, los servidores DNS individuales tienen autoridad solo para partes de todo el DNS. Si un servidor DNS recibe una solicitud para un área donde no tiene autoridad, puede reenviar la solicitud al siguiente servidor DNS. Para evitar cargas innecesarias, los servidores DNS pueden almacenar en caché las respuestas de otros servidores a las solicitudes localmente. En este caso, la solicitud anterior podría reenviarse a otro servidor y enviarse una respuesta inmediatamente. Un participante de DNS que envía una solicitud a un servidor de nombres guarda la respuesta recibida en su caché durante un período de tiempo predeterminado sin verificarla. Además de la respuesta real, a menudo se transmiten datos adicionales (legítimos) (registros adhesivos), que también se almacenan en la memoria caché. El envenenamiento de la caché se basa en ocultar uno o más registros de recursos falsos en estos datos adicionales. Más precisamente, en la sección de autoridad del paquete de respuesta, se ingresa el nombre a redirigir (por ejemplo, thecustomizewindows.com) como el supuesto servidor DNS, y en la sección Adicional, la dirección IP (por ejemplo, 1.2.3.4) de un servidor controlado por el atacante. Ejemplo de secuencia Un atacante toma el control del servidor de nombres XX. Lo manipula de tal manera que cada vez que se solicita un nombre del dominio ejemplo.com, se proporciona el registro falso thecustomizewindows.com 192.0.2.1 sin que se le solicite. El servidor de nombres público YY quiere resolver el nombre test.example.com . Envía la solicitud correspondiente al servidor de nombres responsable XX (controlado por el atacante). Este servidor de nombres manipulado responde con la dirección IP correcta, pero también proporciona el registro falso de thecustomizewindows.com en 192.0.2.1. El servidor solicitante YY lo copia en el caché sin marcar. En un momento posterior, un usuario intenta resolver el nombre thecustomizewindows.com y recurre al servidor de nombres público YY. El servidor de nombres encuentra el registro (falso) en su caché y envía la dirección IP 192.0.2.1 al usuario de buena fe. El usuario desea acceder a thecustomizewindows.com, pero es redirigido a una página web incorrecta con la dirección IP 192.0 .2.1.Solución de problemas La vulnerabilidad en el servidor de nombres BIND se solucionó en junio de 1997 ignorando registros de recursos no solicitados. Sólo se aceptarán registros de recursos del dominio realmente solicitado (in-bailiwick ‘en el distrito administrativo’). Todos los servidores de nombres que se utilizan hoy en día realizan esta verificación antes de almacenarse en caché. Suplantación de DNS En la suplantación de DNS, el atacante envía respuestas DNS falsas que supuestamente se originan en el servidor de nombres responsable utilizando suplantación de IP. Para que el ataque tenga éxito, la respuesta falsificada debe llegar al solucionador atacado antes que la respuesta legítima o, de lo contrario, un ataque de denegación de servicio impide que el servidor de nombres responsable envíe una respuesta. Además, los parámetros de la respuesta deben coincidir con los de la solicitud, incluido el número de transacción de 16 bits. El atacante puede enviar varias respuestas falsas al mismo tiempo para aumentar la probabilidad de éxito en un intento de ataque, pero esto aumenta la cantidad de recursos necesarios. Varias vulnerabilidades hacen que sea más fácil adivinar el número de transacción. En BIND 8, el generador de números pseudoaleatorios era inseguro, por lo que el número de transacción podía predecirse con poco esfuerzo. Si el solucionador atacado envía una solicitud DNS idéntica varias veces con diferentes números de transacción, la probabilidad de éxito aumenta significativamente debido a la paradoja del cumpleaños. Si el ataque no tuvo éxito, el registro de recursos correcto se almacena en caché, por lo que el atacante no puede volver a intentarlo hasta que llegue el momento. vivir ha expirado.

Source link