Ataques de DNS: cómo se llevan a cabo y qué debe hacer para mitigarlos

47
Ataques de DNS: cómo se llevan a cabo y qué debe hacer para mitigarlos

DNS Caché de envenenamiento

Es uno de los ataques que ocurre con mayor frecuencia. El objetivo principal es capturar usuarios a través de sitios web falsos y maliciosos. ¿Cómo es posible que un servidor DNS devuelva sitios sospechosos para poder apropiarse de nuestros datos personales? A continuación, le mostramos un diagrama de operación y lo explicaremos paso a paso.

Imagine que desea acceder a mail.google.com (Gmail), prácticamente sin darse cuenta, un DNS envenenado (envenenado) nos redirige a un sitio bastante similar a Gmail donde nos solicita datos de usuario y contraseña. Como vemos, el envenenamiento de caché de DNS es uno de los puentes más efectivos para otros ataques conocidos como el phishing. Este ataque nos muestra que es muy simple poder violar los registros DNS de un servidor en particular para redirigir a los usuarios a sitios web a los que realmente no quieren acceder.

Cómo prevenir y mitigar este ataque

Aquí hay tres medidas para ayudar a prevenir el envenenamiento de la caché de DNS:

  • Una de las medidas esenciales es la configuración de los servidores DNS para que confíen lo menos posible en otros servidores DNS cuando interactúan entre sí. De esta manera, los ciberdelincuentes tendrán menos probabilidades de alterar las configuraciones y los registros DNS de los servidores a los que se dirigen.
  • Otras acciones de configuración son: la restricción de consultas recursivas, el almacenamiento de datos que solo están asociados con el dominio solicitado y la restricción de las respuestas de las consultas a la información solo del dominio solicitado.
  • El uso de la herramienta. DNSSEC que está destinado a proporcionar autenticación de datos DNS confiables. Una de las ventajas de DNSSEC es que es posible limitar el número de solicitudes de DNS. Además, es posible prevenir otros ataques importantes como DDoS.

Denegación de servicio de reflexión distribuida (DRDoS)

¿Algo peor que los ataques DDoS? Asi es. El ataque DRDoS Su propósito es ser aún más grande que el DDoS, generando consecuencias devastadoras a través de métodos de ataque que son mucho más baratos y más efectivos que el DoS o DDoS. Los cibercriminales encontraron una manera de llevar a cabo ataques más grandes a través de la amplificación. De esta manera, una gran cantidad de hosts ya no es necesaria. Es por esta circunstancia que este tipo de DoS tiene como distintivo el “reflexión”.

¿Como funciona? Quienes llevan a cabo los ataques, eligen sus objetivos para poder ocultar su verdadera identidad cuando los llevan a cabo. Luego, los ciberdelincuentes se hacen pasar por sus objetivos a través de la suplantación de IP, es decir, se identifican por la dirección IP de la víctima en lugar de la suya propia por razones obvias.

Luego, realizan solicitudes a través de protocolos muy vulnerable como UDP, por ejemplo. Este y otros tipos de solicitudes requieren una respuesta, por lo que el primer problema que aparece es que los objetivos deben recibir respuestas (en este caso, DNS) a las solicitudes que nunca han hecho realmente.

A diferencia de otros tipos de ataques DoS distribuidos que usan botnets para trabajar, los ataques reflexivos DoS solo necesitan una lista de direcciones IP vulnerables. Estas son accesibles por muchas herramientas que realizan escáneres de puertos o simplemente ingresando al motor de búsqueda. Shodan. Es importante distinguir que estas IP vulnerables no están identificadas para que los ataques cibercriminales o los controlen. Estos servirán como reflectores, porque son accesibles a la respuesta de solicitudes maliciosas.

Cómo prevenir y mitigar este ataque

Aunque es muy difícil mitigar un DRDoS, existen medidas de prevención que, a largo plazo, lo protegerán de este tipo de situación. Especialmente, a nivel organizacional:

  • Asegúrese de que sus servidores (incluido DNS) estén ubicados en diferentes centros de datos, y que formen parte de diferentes redes / subredes de la organización.
  • Los centros de datos también deben tener varias rutas de acceso alternativas, además de la principal.
  • Lo más importante: que tanto los centros de datos como las redes / subredes relacionadas no tengan agujeros de seguridad de ningún tipo de nivel de impacto.

Ataque de dominio fantasma

Ellos atacan Solucionadores de DNS y se abusa del uso de recursos para tratar de resolver estos dominios fantasmas. En realidad, no importa cuánto lo intentes una y millones de veces, nunca se resolverán. Lo que los ciberdelincuentes intentan lograr es que estos solucionadores esperen una respuesta durante mucho tiempo, lo que resulta en fallas de rendimiento de los servicios de DNS o, más bien, en un rendimiento deteriorado.

Aquí hay una lista de medidas que puede aplicar para prevenir / mitigar este tipo de ataques:

  • Aumentar el número de clientes recursivos.
  • Restrinja las solicitudes recursivas de cada servidor, además de restringir las solicitudes (consultas) por zona

Ataque aleatorio de subdominio

Aunque no es uno de los ataques más populares, es bastante difícil de identificar. Por eso recomendamos prestar atención. Es bastante similar a los ataques DoS debido a su naturaleza y esquema de operación. Este ataque se lleva a cabo enviando muchas solicitudes DNS a un dominio activo. Sin embargo, estas solicitudes maliciosas no se originan en el dominio principal, sino en aquellos subdominios que actualmente no existen.

Es un ataque a subdominios, pero finalmente logra llevar a cabo un ataque DoS incrustado que hace que el servidor DNS se agote y con sus búsquedas DNS a continuación. Dado que recibe demasiadas solicitudes y se satura al intentar resolver el dominio primario.

Ataques DNS del tipo Flood

El objetivo principal es sobrecargar el servidor DNS para que no pueda continuar administrando las solicitudes DNS porque todas las zonas DNS en cuestión influyen en el propósito de los registros de recursos.

Como se puede ver en el esquema anterior, un atacante origina una botnet con muchas computadoras que actúan como zombies, infectadas, por supuesto, con el claro propósito de atacar el servidor DNS con miles de solicitudes. Este es probablemente el caso más recurrente de un ataque DoS.

Estos tipos de ataques generalmente se controlan de manera simple porque generalmente el origen proviene de una sola dirección IP. Aunque la situación es muy complicada si se convierte en un DoS distribuido, es decir, un DDoS.

En conclusión, las medidas de mitigación y prevención tienen como punto común mayor control de los servidores DNS y su integridad. Desafortunadamente, muchas de estas medidas se aplican solo después de haber sido víctima de algún tipo de ataque. Es mejor prevenir que lamentar las pérdidas, que logran alcanzar millones de dólares sin mayores dificultades.

Dejar respuesta

Please enter your comment!
Please enter your name here