Secuestro de DNS

Ir a: navegación, búsqueda de

Secuestro de DNS o Redirección de DNS es la práctica de subvertir la resolución de Sistema de nombres de dominio Consultas (DNS). Esto puede lograrse por el malware que reemplaza de una computadora TCP/IP configuración para que apunte a un servidor DNS pícaro bajo el control de un atacante, o a través de la modificación de la conducta de un servidor DNS para que no cumple con los estándares de internet.

Estas modificaciones pueden hacerse propósitos maliciosos tales como "phishing", o con fines egoístas por Proveedores de servicios de Internet (ISP) y público/router-basado en línea Proveedores de servidores DNS para dirigir a web tráfico los usuarios a la ISP propio servidores Web ¿Dónde se pueden servir anuncios, estadísticas recogidas u otros propósitos del ISP; y por DNS prestadores para bloquear el acceso a dominios seleccionados como una forma de censura.

Contenido

  • 1 Formación técnica
    • 1.1 Servidor DNS pícaro
    • 1.2 Manipulación por parte de los ISPs
    • 1.3 Manipulación por parte de los registradores
  • 2 Respuesta
  • 3 Remedio
  • 4 Véase también
  • 5 Referencias

Formación técnica

Una de las funciones de un servidor DNS es traducir un nombre de dominio en un Dirección IP que aplicaciones es necesario conectarse a un recurso de Internet como un sitio web. Esta funcionalidad se define en varios formal estándares de Internet que definen la Protocolo en detalle considerable. Los servidores DNS son de confianza implícitamente por los usuarios para resolver correctamente los nombres de las direcciones reales que son registradas por los dueños de un dominio en internet y ordenadores a internet.

Servidor DNS pícaro

Un servidor DNS pícaro traduce nombres de dominio de sitios web accesible (buscadores, bancos, corredores, etc.) en direcciones IP de los sitios con los sitios web de contenido, incluso malévolo involuntario. Mayoría de los usuarios depende de los servidores DNS asignados automáticamente por su ISP. Ordenadores Zombie usar cambio de DNS troyanos invisiblemente cambiar la asignación automática de servidor DNS del ISP a asignación manual de servidor DNS de los servidores DNS de pícaro.[citación necesitada] Cuando los usuarios intentan visitar sitios web, en cambio enviarlos a un sitio web falso. Este ataque se denomina Pharming. Si el sitio que se redirigen a es un sitio Web malintencionado, haciéndose pasar por un sitio web legítimo, con el fin de obtener fraudulentamente información sensible, se denomina "phishing".[1]

Manipulación por parte de los ISPs

Un número de ISPs del consumidor tales como Cablevisiónes Optimum Online,[2] Comcast,[3] Time Warner, Cox Communications, RCN,[4] Rogers,[5] Charter Communications, Verizon,[6] Virgin Media,[7][8] Comunicaciones de la frontera, Bell Sympatico,[9] UPC,[10] T-Online,[11] Optus,[12] Mediacom,[13] ONO,[14] TalkTalk,[15] BigPond (Yoigo),[16][17][18][19] y secuestro del DNS TTNET uso para sus propios fines, tales como Mostrar anuncios[20] o recolección de estadísticas. Esta práctica viola el RFC estándar para las respuestas de DNS (NXDOMAIN),[21] y potencialmente puede abrir los usuarios Cross-site scripting ataques.[20]

La preocupación con DNS secuestro implica este secuestro de la respuesta NXDOMAIN. Internet y Intranet aplicaciones se basan en la respuesta NXDOMAIN para describir la condición donde el DNS no tiene ninguna entrada para el host especificado. Si uno consulta el nombre de dominio no válidos (fakeexample.com), uno debe obtener una respuesta NXDOMAIN - informar a la aplicación que el nombre no es válido y tomar la acción apropiada (por ejemplo, mostrar un error o no intentar conectarse al servidor). Sin embargo, si el nombre de dominio se consulta en uno de estos ISP no conformes, uno siempre recibirá una dirección IP falsa pertenecientes al ISP. En un navegador web, este comportamiento puede ser molesto u ofensivo como las conexiones con esta visualización de la dirección IP del Página de redirección de ISP del proveedor, a veces con la publicidad, en lugar de un mensaje de error apropiado. Sin embargo, otras aplicaciones que se basan en el error NXDOMAIN en cambio intentará iniciar conexiones a esta dirección IP falsificada, potencialmente exponer información sensible.

Ejemplos de funcionalidad que se rompe cuando un ISP apropia de DNS:

  • Itinerancia portátiles que son miembros de un Dominio de Windows Server falsamente serás llevado a creer que están en una red corporativa porque los recursos tales como Controladores de dominio, servidores de correo electrónico y otras infraestructuras parecerá estar disponible. Aplicaciones por lo tanto intentará iniciar conexiones a estos servidores corporativos, pero fallan, dando como resultado un rendimiento degradado, innecesario tráfico en la conexión a internet y tiempos de espera.
  • Muchas pequeñas oficinas y redes domésticas no tienen su propio servidor DNS, confiando en su lugar en difusión resolución de nombres. Muchas versiones de predeterminado de Microsoft Windows para dar prioridad a la resolución de nombres DNS sobre emisiones de resolución de nombre NetBIOS; por lo tanto, cuando un servidor DNS del ISP devuelve una dirección IP (técnicamente válida) para el nombre de la computadora deseada en la LAN, conecta la computadora utiliza esta dirección IP incorrecta e inevitablemente no logra conectarse a la computadora deseada en la LAN. Las soluciones incluyen usando la dirección IP correcta en vez del nombre del equipo, o se cambia el valor del registro DhcpNodeType para cambiar el orden de servicio de resolución de nombre.[22]
  • Navegadores como Firefox Ya no tienen su funcionalidad 'Buscar por nombre' (donde palabras clave escrita en la barra de direcciones toma los usuarios en el sitio más cercano que empareja.).[23]
  • El cliente DNS local integrado en los sistemas operativos modernos cachea resultados de búsquedas DNS por motivos de rendimiento. Si un cliente cambia entre una red doméstica y un VPN, las entradas falsas pueden permanecer en la memoria caché, creando así una interrupción del servicio en la conexión VPN.
  • DNSBL soluciones anti-spam dependen de DNS; DNS falsos por lo tanto interferirán con su funcionamiento.
  • Datos confidenciales del usuario pueden ser filtrado las aplicaciones que son engañadas por el ISP en la creencia de que los servidores que desean conectarse están disponibles.
  • Opción del usuario sobre qué motor de búsqueda para consultar en caso de una dirección URL que escribió bien en un navegador se retira como el ISP determina lo que la búsqueda de resultados se muestran al usuario; funcionalidad de aplicaciones como la Google Toolbar No funcionan correctamente.
  • Equipos configurados para utilizar un túnel de Split con una VPN conexión dejarán de funcionar porque los nombres de intranet que no deben resolverse fuera del túnel por la Internet pública comenzará a resolver direcciones ficticias, en lugar de resolver correctamente sobre el túnel VPN en un servidor DNS privado cuando se recibe una respuesta NXDOMAIN desde Internet. Por ejemplo, un cliente de correo intentando resolver que el registro DNS A un servidor de correo interno puede recibir una respuesta DNS falsa que dirigió a un servidor web resultados pagados, con mensajes en la cola para la entrega durante días mientras trataba en vano de retransmisión.[24]
  • Se rompe Protocolo de detección automática de Proxy Web (WPAD) por los principales navegadores web a creer erróneamente que el ISP tiene un servidor proxy configurado.
  • Me rompe el software de monitoreo. Por ejemplo, si nos periódicamente en contacto con un servidor para determinar su estado de salud, un monitor nunca verá un fracaso a menos que el monitor intenta verificar clave criptográfica del servidor.

En algunos casos, los ISPs ofrecen ajustes configurables por el suscriptor para deshabilitar el secuestro de las respuestas NXDOMAIN. Un ambiente tan correctamente implementado, revierte DNS a comportamiento estándar. Otros ISPs, sin embargo, en su lugar utilizan un navegador web galleta para almacenar la preferencia. En este caso, no se resuelve el comportamiento subyacente: continúan las consultas DNS ser redirigido, mientras que la página de redirección de ISP se sustituye por una página de error dns falsos. Aplicaciones que no sean los navegadores web no pueden ser optó el esquema usando "cookies" como los objetivos de opt-out sólo el HTTP Protocolo, cuando en realidad se implementa el esquema en el sistema DNS protocolo-neutral.

Manipulación por parte de los registradores

Algunos registradores de nombre de dominio, en particular Name.com,[25] realizar un DNS secuestro en búsquedas de nombre dominio fracasado a pesar de objeción a esta práctica por ICANN[26] y sus consumidores.

Respuesta

En el Reino Unido, oficina del Comisionado de la información han reconocido que la práctica de DNS involuntario secuestro contraviene PECR y EC Directiva 95/46 de protección de datos que requieren consentimiento expreso para el procesamiento de tráfico de las comunicaciones. Sin embargo se han negado a intervenir, reclamación que no sería sensato hacer cumplir la ley, porque no podría causar importantes (o hecho cualquiera) demostrable detrimento a los individuos.[7][8]

ICANN, el organismo internacional responsable de administrar los nombres de dominio de primer nivel, ha publicado un memorando destacando sus preocupaciones y afirmando:[24]

"ICANN fuertemente desalienta el uso de DNS redirección, comodines, las respuestas sintetizadas y cualquier otra forma de sustitución NXDOMAIN de gTLDs existentes, ccTLDs y cualquier otro nivel en el árbol DNS para nombres de dominio del registro-clase".

Remedio

Los usuarios finales, insatisfechos con pobres opciones "opt-out" como "cookies", han respondido a la controversia por encontrar maneras de evitar respuestas NXDOMAIN falsificadas. Software DNS Bind como Dnsmasq ofrecen opciones para filtrar los resultados y se puede ejecutar desde un gateway o router para proteger una red entera. Google, entre otros, ejecute abierta los servidores DNS que actualmente no devuelven resultados falseados. Así que un usuario puede utilizar Google Public DNS en lugar de DNS de su ISP servidores si están dispuestos a aceptar la pérdida asociada de privacidad asociados con su comportamiento en línea siendo rastreado. Una limitación de este enfoque es que un bloque de proveedores o reescribir fuera peticiones DNS.

También hay aplicación nivel soluciones temporales, tales como el NoRedirect Extensión para Firefox Add-on que mitigar algunas de las conductas. Un enfoque fija una única aplicación (en este ejemplo, Firefox) y no abordaremos otros problemas causados. Propietarios de páginas web pueden ser capaces de engañar a unos secuestradores mediante el uso de ciertos ajustes DNS. Por ejemplo, estableciendo un récord TXT de "inusitado" en su dirección comodín (e.g. *. ejemplo.com). Alternativamente, pueden probar configuración el CNAME del comodín a "example.invalid", haciendo uso del hecho de '.invalid' se garantiza que no existe por el RFC. La limitación de este enfoque es que sólo evita secuestro en esos dominios particulares, pero puede abordar algunas cuestiones de seguridad VPN causadas por secuestro de DNS.

Véase también

  • Portal cautivo
  • Envenenamiento de caché DNS
  • Secuestro del dominio
  • Dynamic Host Configuration Protocol
  • Pharming
  • Protocolo punto a punto
  • TCP reset ataque

Referencias

  1. ^ "Servidores de sistema de nombres de dominio de pícaro". Trend Micro. 2007-12-15.
  2. ^ "DNS en línea óptima asistencia".
  3. ^ "Comcast ensayos Servicio de ayuda de dominio Secuestrador DNS". El registro. 2009-10-07.
  4. ^ "¿Quién robó mi navegador Web?".
  5. ^ "Rogers utiliza inspección profunda de paquetes para el redireccionamiento de DNS". Dslreports.com. 2008-06-20. 2010-06-15.
  6. ^ "Optar por asistencia de DNS".
  7. ^ a b "ICO: No dejaremos de búsqueda de errores de red avanzada".
  8. ^ a b "Caso referencia número ENQ0265706". No estoy convencido de que hay alguna probabilidad de perjuicio o daño a los suscriptores o usuarios que justificarían tomando acción formal en este caso.
  9. ^ «Campana comienza secuestro NS dominio consultas».
  10. ^ "UPC FAQ sobre el servicio de navegación""".
  11. ^ T-equipo local (2009-04-09). "Neues Leistungsmerkmal ' Navigationshilfe'"['Ayuda de navegación' novedad] (en alemán). 2009-12-02. Ist die Navigationshilfe aktiviert werden servidor DNS zugewiesen, die dieses Leistungsmerkmal unterstützen; ist sie desactivados, werden herkömmliche servidor DNS zugewiesen.
  12. ^ Optus' "en la página de resultados de la búsqueda"
  13. ^ "¿Quieres un ejemplo real de por qué nosotros necesitamos red neutralidad? Yo tengo uno aquí.".
  14. ^ Dnssearch XSS reflejados.Ono.es NXD redirigir «iniqua
  15. ^ TalkTalk | Sobre esta página
  16. ^ BigPond typos redirige a la página de búsqueda de marca 'ético' - CRN Australia
  17. ^ "Carta corrompiendo DNS protocolo es decir secuestro anfitriones".
  18. ^ "road runner dns secuestrar causando páginas web lentos".
  19. ^ "Rogers viola la neutralidad de la red por secuestro fallidas búsquedas de DNS".
  20. ^ a b Singel, Ryan (19 de abril de 2008). "ISP anuncios de página de Error dejar que los Hackers secuestrar toda Web, investigador revela". Atado con alambre.
  21. ^ "El almacenamiento en caché de consultas DNS negativo".
  22. ^ https://www.howtonetworking.com/NetBIOS&WINS.htm#How% 20to % 20modify % 20Node % 20Type
  23. ^ "Usando Firefox + extensión NoRedirect para evitar el secuestro de DNS".
  24. ^ a b "Los daños causados por la substitución NXDOMAIN en nivel superior y otros nombres de dominio del registro-clase". ICANN. 2009-11-24. 2010-09-23.
  25. ^ "Hacker News".
  26. ^ "Los daños y las preocupaciones planteadas por la substitución NXDOMAIN (DNS comodín y tecnologías similares) a nivel de registro". ICANN.

Otras Páginas

Obtenido de"https://en.copro.org/w/index.php?title=DNS_hijacking&oldid=646806563"