El Sistema de Nombres de Dominio (DNS, Domain Name System) es un sistema global que traduce los nombres de dominio de Internet en direcciones IP. Este proceso se conoce como “resolución de nombres” y es aprovechado por los ciberatacantes para llevar a cabo ataques como el DNS Spoofing.
Qué es el Sistema de Nombres de Dominio (DNS)
Antes de entrar en los detalles de la suplantación de DNS, es necesario explicar qué es el DNS y cómo funciona.
El Sistema de Nombres de Dominio (DNS) es un protocolo que permite traducir los nombres de dominio en direcciones IP. De este modo, el DNS permite a los internautas acceder a un sitio web determinado tecleando un nombre de dominio en lugar de la dirección IP correspondiente, formada por una serie de números y letras difíciles de recordar.
Cuando se teclea un nombre de dominio en un navegador web, se envía una petición de resolución DNS al Registro DNS del dominio en cuestión, que, gracias a la red de servidores DNS, traduce el nombre de dominio en la dirección IP asociada al mismo, permitiendo mostrar el contenido del sitio.
¿Qué es el DNS Spoofing?
La suplantación de DNS es un tipo de ciberataque que utiliza agujeros de seguridad en los protocolos DNS para dirigir las peticiones de los usuarios a servidores fraudulentos.
En la práctica, los hackers alteran la asociación entre un nombre de dominio y su dirección IP insertando sus servidores en la cadena de servidores DNS de un dominio específico. De este modo, cuando un usuario teclea un nombre de dominio en el navegador, la respuesta a la solicitud de resolución DNS se envía desde el servidor de los hackers en lugar del servidor DNS legítimo.
De este modo, los hackers pueden dirigir a los usuarios a sitios web maliciosos para cometer fraudes, rastrear información privada y robar datos confidenciales.
Existen dos ataques principales de DNS Spoofing: DNS ID Spoofing y DNS Cache Poisoning. En términos prácticos, el objetivo del hacker es hacer coincidir la dirección IP de una máquina bajo su control con un nombre real y válido de una máquina pública.
Descripción del Ataque DNS Spoofing
DNS ID Spoofing
Si la máquina A quiere comunicarse con la máquina B, necesita la dirección IP de ésta. En este caso, A utilizará el protocolo DNS para obtener la dirección IP de B a partir de su nombre.
A continuación, se envía una petición DNS a un servidor DNS, declarado en el nivel A, solicitando que el nombre de B se resuelva en su dirección IP. Para identificar esta solicitud, se le asigna un número de identificación (de hecho, un campo de la cabecera del protocolo DNS). A continuación, el servidor DNS enviará la respuesta a esta solicitud con el mismo número de identificación. El ataque consistirá entonces en recuperar este número de identificación (mediante sniffing, cuando el ataque se realice en la misma red física, o utilizando un fallo de los sistemas operativos o de los servidores DNS que haga predecibles estos números) para enviar una respuesta falsificada ante el servidor DNS. De este modo, la máquina A utiliza sin saberlo la dirección IP del hacker y no la de la máquina B, el destinatario original. El siguiente diagrama ilustra simplemente el principio del DNS ID Spoofing.
DNS Cache Poisoning
Los servidores DNS disponen de una memoria caché que les permite conservar durante cierto tiempo la correspondencia entre el nombre de una máquina y su dirección IP. Un servidor DNS sólo tiene correspondencias para las máquinas del dominio sobre el que tiene autoridad. Para las demás máquinas, se pone en contacto con el servidor DNS que tiene autoridad sobre el dominio al que pertenecen dichas máquinas. Estas respuestas se almacenan en esta caché para evitar tener que seguir solicitándolas a diferentes servidores DNS. El envenenamiento de la caché DNS consiste en corromper esta caché con información falsa. Para ello, el atacante debe tener un nombre de dominio bajo su control (por ejemplo unsitio.com) y el servidor DNS con autoridad sobre él ns.unsitio.com. El ataque se desarrolla en varias etapas:
- El hacker envía una petición al servidor DNS de destino solicitando que se resuelva el nombre de una máquina del dominio unsitio.com (por ejemplo, www.unsitio.com).
- El servidor DNS de destino reenvía esta solicitud a ns.unsitio.com (ya que tiene autoridad sobre el dominio unsitio.com).
- El servidor DNS del hacker (modificado para la ocasión) enviará entonces, además de la respuesta, registros adicionales (que contienen la información falsificada, es decir, un nombre de máquina público asociado a la dirección IP del hacker).
- Los registros adicionales se colocan en la caché del servidor DNS de destino.
- Una máquina que realice una petición al servidor DNS de destino solicitando la resolución de uno de los nombres falsificados recibirá una respuesta con una dirección IP distinta de la dirección IP real asociada a esta máquina.
¿Cómo Puedo Protegerme del DNS Spoofing?
Como puedes ver, el DNS Spoofing es un peligro que hay que tomarse en serio. Afortunadamente, hay toda una serie de medidas disponibles para proporcionar una protección eficaz contra el DNS Spoofing:
- Actualizar los servidores DNS (para evitar la previsibilidad de los números de identificación y las lagunas que pueden utilizarse para tomar el control del servidor).
- Configurar el servidor DNS para que sólo resuelva directamente los nombres de las máquinas del dominio sobre el que tiene autoridad.
- Limitar la caché y comprobar que no retiene registros adicionales.
- No basar los sistemas de autenticación en el nombre de dominio: no es nada fiable.
- La activación de DNSSEC es una buena forma de evitar la suplantación de DNS
- Ejecutar regularmente análisis antimalware en tu ordenador
- Limitar las consultas recursivas para protegerse de los ataques de envenenamiento selectivo.
- Utilizar el protocolo HTTPS
- Comprobar que el resolutor DNS adopta medidas de seguridad modernas y bloquea los dominios maliciosos
