DNS spoofing
DNS spoofing (o Envenenamiento de caché DNS) es un informáticos atacar, por el que se introducen datos en un Sistema de nombres de dominio (DNS) discernidor de imágeneses caché, causando que el servidor de nombre devolver una incorrecta Dirección IP, desvío de tráfico al equipo del atacante (o cualquier otro ordenador).
Contenido
- 1 Resumen del sistema de nombres de dominio
- 2 Ataques de envenenamiento de caché
- 3 Variantes
- 3.1 Redirección de nombres de dominio de destino
- 3.2 Redirigir el registro NS a otro dominio de destino
- 4 Prevención y mitigación
- 5 Véase también
- 6 Referencias
Resumen del sistema de nombres de dominio
A servidor de sistema de nombres de dominio traduce una legible nombre de dominio (por ejemplo, ejemplo.com) en un numérico Dirección IP se utiliza para Ruta comunicaciones entre nodos. Normalmente si el servidor no sabe una traducción solicitada pedirá otro servidor y el proceso continúa de forma recursiva. Para aumentar el rendimiento, un servidor típicamente recordará (caché) estas traducciones durante un cierto periodo de tiempo, por lo que, si recibe otra solicitud para la misma traducción, puede responder sin tener que pedir otra vez el otro servidor.
Cuando un servidor DNS ha recibido una traducción falsa y lo almacena en memoria caché para la optimización del rendimiento, se considera envenenado, y suministra los datos falsos a los clientes. Si un servidor DNS está envenenado, lo puede devolver una dirección IP incorrecta, desviando el tráfico a otro ordenador (a menudo de un atacante).[citación necesitada]
Ataques de envenenamiento de caché
Normalmente, un ordenador conectado a la red utiliza un servidor DNS proporcionado por un Proveedor de servicios Internet (ISP) o la organización del usuario de la computadora. Los servidores DNS se utilizan en la red de una organización para mejorar la resolución obtiene un rendimiento de respuesta en caché previamente los resultados de consulta. Intoxicación con ataques en un solo servidor DNS puede afectar a los usuarios atendidos directamente por el servidor comprometido o aquellos servicios indirectamente por sus servidores descendente si es aplicable.[citación necesitada]
Para llevar a cabo una caché de ataque, el atacante, envenenamiento explota fallas en el software DNS. Servidor debe validar correctamente las respuestas de DNS para asegurarse de que son de una fuente autorizada (por ejemplo mediante el uso de DNSSEC). De lo contrario el servidor podría terminan caché localmente las entradas incorrectas y servir a otros usuarios que hacen la misma petición.
Este ataque puede utilizarse para dirigir a los usuarios de un sitio web a otro sitio de elección del atacante. Por ejemplo, un atacante parodias las entradas DNS de dirección IP para un sitio web de destino en un determinado servidor DNS y los reemplaza con la dirección IP de un servidor bajo su control. Luego, crea archivos en el servidor bajo su control con nombres coincidentes en el servidor de destino. Estos archivos normalmente contiene malicioso contenido, tales como un gusano informático o un virus informático. Un usuario cuya computadora ha que hace referencia el servidor DNS envenenado obtiene engañó aceptando contenido proveniente de un servidor no auténticos y sin saberlo descargas contenido malicioso.
Variantes
En las variantes siguientes, las entradas para el servidor NS.Target.example sería envenenado y redirigido a nombre del servidor del atacante en dirección IP w.x.y.z. Estos ataques supone que el nombre del servidor para Target.example es NS.Target.example.[citación necesitada]
Para llevar a cabo los ataques, el atacante debe forzar el servidor DNS objetivo para hacer una solicitud para un dominio controlado por uno de los servidores de nombres del atacante.[citación necesitada]
Redirección de nombres de dominio de destino
La primera variante de envenenamiento de caché DNS consiste en reorientar el servidor de nombres de dominio del atacante para el servidor de nombres de dominio de destino, y luego asignar ese servidor una dirección IP especificada por el atacante.
Solicitud de servidor DNS: ¿Cuáles son la dirección de registros para subdomain.Attacker.example?
EN un subdomain.Attacker.example.
Respuesta del atacante:
Respuesta: (sin respuesta)
Sección de autoridad: attacker.example. 3600 IN NS ns.target.example.
Sección adicional: ns.target.example. EN un w.x.y.z
Un servidor vulnerable podría almacenar en caché el adicional-registro (dirección IP) para NS.Target.example, lo que permite al atacante resolver consultas en todo el Target.example dominio.
Redirigir el registro NS a otro dominio de destino
La segunda variante de envenenamiento de caché DNS consiste en reorientar el servidor de nombres de dominio de otro no relacionado con la solicitud original a una dirección IP especificada por el atacante.[citación necesitada]
Solicitud de servidor DNS: ¿Cuáles son la dirección de registros para subdomain.Attacker.example?
EN un subdomain.Attacker.example.
Respuesta del atacante:
Respuesta: (sin respuesta)
Sección de autoridad: target.example. 3600 IN NS ns.attacker.example.
Sección adicional: ns.attacker.example. EN un w.x.y.z
Un servidor vulnerable podría almacenar en caché la información sin relación autoridad para Target.examplede registro NS (nameserver entrada), lo que permite al atacante resolver consultas en todo el Target.example dominio.
Prevención y mitigación
Caché muchos ataques de envenenamiento puede prevenirse en servidores DNS por ser menos confiados de la información pasada a ellos por otros servidores DNS, y haciendo caso omiso de los registros DNS pasó atrás que no son directamente relevantes para la consulta. Por ejemplo, versiones de BIND 9.5.0-P1[1] y por encima de realizar estos controles.[2] Aleatorización Puerto fuente para las peticiones DNS, combinado con el uso de números aleatorios criptográficamente seguro para seleccionar el puerto de origen tanto el 16-bit nonce criptográfico, puede reducir la probabilidad de éxito DNS carrera ataques.
Sin embargo routers, firewalls, servidores proxy y otros dispositivos de entrada que realicen traducción de direcciones de red (NAT), o más específicamente, puerto dirección traducción (PAT), a menudo reescribir los puertos fuente para rastrear el estado de conexión. Al modificar los puertos de origen, PAT dispositivos típicamente quite aleatoriedad de Puerto fuente implementada por resoluciones de servidores de nombres y trozo.[citación necesitada]
(DNS seguroDNSSEC) aplicaciones criptográficas firmas digitales firmadas con una confianza certificado de clave pública para determinar la autenticidad de los datos. DNSSEC puede contrarrestar ataques de envenenamiento de caché, pero a partir de 2008 no fue todavía ampliamente desplegado. En 2010 se implementó DNSSEC en los servidores de zona raíz de Internet.[3]Sin embargo, algunos expertos en seguridad afirman con DNSSEC, sin aplicación de criptografía, el atacante aún puede proporcionar datos falsos.[4]
Este tipo de ataque puede ser mitigado en el capa de transporte o capa de aplicación mediante la realización de validación-to-end una vez se establece una conexión. Un ejemplo común de esto es el uso de Transport Layer Security y firmas digitales. Por ejemplo, mediante el uso de HTTPS (la versión segura de HTTP), los usuarios pueden comprobar si certificado digital del servidor es válido y pertenece al propietario prevista del sitio Web. Del mismo modo, la shell seguro Programa de inicio de sesión remoto cheques certificados digitales en los extremos (si lo conoce) antes de proceder con la sesión. Para las aplicaciones que descargue las actualizaciones automáticamente, la aplicación puede incrustar una copia del certificado de firma localmente y validar la firma almacenada en la actualización del software contra el certificado incrustado.[citación necesitada]
Aparatos de caché Anycast inteligente de Dell y TCPWave tienen guardianes, que aseguran que los procesos DNS no consigue una caché de veneno por predefinir las raíces en los perros guardianes. Fuente Puerto aleatorización vía BIND respaldada por un software de servidor de DNS no se unen con inteligencia mimetizado con el protocolo de enrutamiento BGP mitiga la caché DNS Anycast ataques de usuarios malintencionados, envenenamiento[citación necesitada].
Véase también
- Mausezahn
- Pharming
- Servidor de nombres raíz
- Secuestro de DNS
Referencias
|
Este artículo Necesita referencias adicionales para verificación. (Enero de 2012) |
- ^ "Matriz de seguridad se unen". ISC Bind. 11 de mayo 2011.
- ^ "Seguridad ISC Bind". ISC Bind. 11 de mayo 2011.
- ^ "Raíz DNSSEC". ICANN/Verisign. p. 1. 5 de enero 2012.
- ^ "Falsificación DNS". 6 de enero 2011.