Los servicios de nombres de dominio son una parte esencial de nuestra red IP. Son servidores que toman nombres de sitios web y los asignan a direcciones IP.. Supongamos que puede cambiar la información en el servidor DNS.. En ese caso, potencialmente, podría enviar a alguien a una dirección IP que no necesariamente coincida con el lugar al que cree que se dirigía inicialmente. Una forma de hacerlo es cambiar los archivos en las computadoras.. Por ejemplo, Cambiando el Archivo HOSTS.txt hará que la computadora se conecte al dirección IP especificado en el archivo en lugar de enviar una consulta al servidor DNS.
De esa manera, puede dirigir a alguien a la dirección IP especificada en el archivo en la máquina de esa persona. Desgraciadamente, cambiar el contenido de un solo archivo en muchos dispositivos puede ser una tarea demasiado difícil. Por eso los atacantes se centran en cambiar lo que hay en el servidor DNS.. De este modo, no es necesario realizar cambios en el lado del cliente. En cambio, hacer un cambio en el servidor DNS, y ahora la respuesta a todos esos clientes se actualizará para reflejar lo que el atacante ha cambiado.. Aunque hay suficientes formas de hacer esto., la mayoría implica tomar el control del servidor DNS.
¿Qué es un DNS y un servidor DNS??
Primero, recordemos qué es DNS? Es un «sistema de nombres de dominio,» y entenderlo completamente, Es esencial aclarar algunos de los términos relacionados..
- Una dirección IP (protocolo de Internet) es un identificador de una cadena de números para cada computadora y servidor únicos en la red. Las computadoras usan estos identificadores para encontrar y «comunicar» juntos.
- Un dominio es un nombre de texto que la gente usa para recordar, identificar, y conectarse a servidores de sitios web específicos. Por ejemplo, un dominio como «www.google.com» se utiliza como una manera fácil de comprender el identificador del servidor de destino, es decir., el dirección IP.
- El sistema de nombres de dominio (DNS) traduce un dominio a la dirección IP correspondiente.
- sistema de nombres de dominio (DNS) servidores son una colección de cuatro tipos de servidores que conforman el proceso de búsqueda de DNS. Estos incluyen la resolución de servidores de nombres., servidores de nombres raíz, dominio de nivel superior (TLD) servidores de nombres, y servidores de nombres autorizados. Por simplicidad, detallamos solo el servidor de resolución.
- Un servidor de nombres de resolución (o resolución recursiva) es un componente de traducción del proceso de búsqueda de DNS que reside en su sistema operativo. Su trabajo es consultar varios servidores web para la dirección IP de destino de un nombre de dominio..
Cómo funciona el DNS?
Cuando escribes el nombre de dominio de un sitio web, ocurre el siguiente proceso:
- Su navegador web y sistema operativo (SO) intenta recordar el dirección IP asociado con el nombre de dominio. Si visitas antes, El sistema operativo puede reconocer la dirección IP de la memoria interna o caché de la computadora..
- El proceso continúa si ninguno de los componentes sabe dónde está la dirección IP de destino.. Próximo, el sistema operativo solicita un servidor de nombres de resolución para la dirección IP. Esta solicitud busca en la cadena de servidores para encontrar la dirección IP adecuada para el dominio..
- Como resultado, el solucionador encuentra y transmite la dirección IP al sistema operativo, que lo envía de vuelta al navegador web.
El proceso de búsqueda de DNS es una estructura vital que se utiliza en Internet.. Desgraciadamente, Los delincuentes pueden aprovechar las vulnerabilidades en DNS., por lo que debes estar atento a posibles redirecciones.
Secuestro de DNS
Secuestro de DNS Es probablemente un término general que abarca los otros métodos.. El secuestro de DNS puede considerarse cualquier ataque que engañe a un usuario final (exactamente, su computadora) hacerle pensar que está interactuando con un nombre de dominio legítimo. En cambio, sin embargo, interactúa con un nombre de dominio o dirección IP establecida por un atacante. A esto a veces se le llama redirección DNS..
Hay muchas formas de secuestrar DNS, pero no todos son ilegales. Por ejemplo, el método más común que vemos es el utilizado por un portal autorizado, como un punto de acceso WiFi de pago por uso: antes de que el usuario pague por el acceso, el servicio de punto de acceso intercepta todas las solicitudes de DNS y, independientemente de lo que se haya establecido, devuelve la página del servidor de pago para que el usuario pueda comprar acceso WiFi.
Cambiar la configuración del dispositivo cliente a un servidor DNS diferente es otro método de ataque estándar. Un atacante puede cambiar la información de un usuario. Configuración de DNS para que en lugar de 8.8.8.8, Utiliza la dirección IP del servidor DNS bajo el control del atacante.. Cuando el usuario solicita un sitio web de banca en línea, el servidor DNS fraudulento puede devolver una dirección IP disfrazada exteriormente del sitio web de destino. Puede actuar como un proxy para capturar todos los datos enviados al sitio web.. Esto es lo que hace el troyano/malware DNSChanger – afortunadamente, es bastante raro estos días.
Otra forma de ganar acceso no autorizado a datos DNS autorizados, explotar una vulnerabilidad del sistema de inicio de sesión DNS o utilizar algún otro método complicado. Algunos ataques se basan en el hecho de que ciertos dominios parecen idénticos en diferentes fuentes o codificaciones. (ataque homógrafo). Uno de los primeros intentos de phishing fue utilizar el nombre de dominio paypaI.com. Luego, el atacante registró el nombre de dominio y escribió la letra i en mayúscula para que pareciera una L minúscula.. De esa manera, mucha gente pensó que era el verdadero PayPal.com. Ahora que el DNS soporta caracteres internacionales, Es aún más difícil distinguir entre términos con la ortografía exacta..
Suplantación de DNS
Suplantación de DNS También se refiere a cualquier ataque que intenta cambiar los registros DNS devueltos al solicitante a una respuesta elegida por el atacante.. Esto puede incluir algunas técnicas como el uso de envenenamiento de caché o algún tipo de ataque de hombre en el medio. A veces utilizamos los términos «Secuestro de DNS» y «Suplantación de DNS» como sinónimos. Este método también es muy utilizado en puntos de acceso Wi-Fi de pago en aeropuertos y hoteles.. En algunos casos, Los grupos de seguridad de red pueden usarlo como herramienta de cuarentena para aislar un dispositivo infectado..
Suplantación de DNS versus secuestro de DNS
Aunque la suplantación de DNS a menudo se confunde con el secuestro de DNS porque ambos ocurren a nivel del sistema local., son dos tipos diferentes de ataques. En la mayoría de los casos, Suplantación de DNS o envenenamiento de caché simplemente implica sobrescribir los valores de la caché DNS local con valores falsos para redirigir a la víctima a un sitio web malicioso.. Por otro lado, Secuestro de DNS (también conocido como redirección DNS) A menudo implica una infección de malware para secuestrar este servicio crítico del sistema.. En este caso, el malware alojado en la computadora local puede cambiar la configuración TCP/IP para apuntar a un servidor DNS malicioso, eventualmente redirigir el tráfico al sitio web de phishing.
Conclusión
Como se puede ver, El DNS es fundamental para el funcionamiento diario de sitios web y servicios en línea. Desgraciadamente, Los atacantes pueden verlo como una oportunidad atractiva para atacar sus redes.. Es por eso que monitorear sus servidores DNS y su tráfico es crucial. Debemos tener cuidado dónde navegamos en Internet y qué correos electrónicos abrimos. Incluso la más mínima diferencia, Por ejemplo, la ausencia de un SSL certificate, es una señal para comprobar el sitio web que desea visitar.
