Página principal » cómo » ¿Qué es el envenenamiento de caché de DNS?

    ¿Qué es el envenenamiento de caché de DNS?

    El envenenamiento de la memoria caché de DNS, también conocido como falsificación de DNS, es un tipo de ataque que explota vulnerabilidades en el sistema de nombres de dominio (DNS) para desviar el tráfico de Internet de servidores legítimos y hacia falsos.

    Una de las razones por las que el envenenamiento del DNS es tan peligroso es porque puede propagarse del servidor DNS al servidor DNS. En 2010, un evento de envenenamiento de DNS provocó que el Gran Cortafuegos de China escapara temporalmente de las fronteras nacionales de China, censurando Internet en los EE. UU. Hasta que se solucionó el problema..

    Cómo funciona el DNS

    Siempre que su computadora se ponga en contacto con un nombre de dominio como "google.com", primero debe comunicarse con su servidor DNS. El servidor DNS responde con una o más direcciones IP donde su computadora puede acceder a google.com. Su computadora luego se conecta directamente a esa dirección IP numérica. DNS convierte las direcciones legibles para las personas como "google.com" a direcciones IP legibles por computadora como "173.194.67.102".

    • Leer más: HTG explica: ¿Qué es DNS??

    DNS Caching

    Internet no solo tiene un único servidor DNS, ya que sería extremadamente ineficiente. Su proveedor de servicios de Internet ejecuta sus propios servidores DNS, que almacenan información de otros servidores DNS. El enrutador de su casa funciona como un servidor DNS, que almacena información de los servidores DNS de su ISP. Su computadora tiene un caché de DNS local, por lo que puede referirse rápidamente a las búsquedas de DNS que ya se realizaron en lugar de realizar una búsqueda de DNS una y otra vez.

    Envenenamiento de caché de DNS

    Un caché de DNS puede envenenarse si contiene una entrada incorrecta. Por ejemplo, si un atacante obtiene el control de un servidor DNS y cambia parte de la información que contiene, por ejemplo, podría decir que google.com en realidad apunta a una dirección IP que posee el atacante, que el servidor DNS le dirá a sus usuarios que busquen para Google.com en la dirección incorrecta. La dirección del atacante podría contener algún tipo de sitio web de phishing malicioso.

    El envenenamiento de DNS como este también puede propagarse. Por ejemplo, si varios proveedores de servicios de Internet obtienen su información de DNS del servidor comprometido, la entrada de DNS envenenada se propagará a los proveedores de servicios de Internet y se almacenará allí. Luego se propagará a los enrutadores domésticos y los cachés de DNS en las computadoras a medida que buscan la entrada del DNS, reciben la respuesta incorrecta y la almacenan..

    El Gran Cortafuegos de China se extiende a los Estados Unidos

    Esto no es solo un problema teórico, ha ocurrido en el mundo real a gran escala. Una de las formas en que funciona el Gran Firewall de China es a través del bloqueo en el nivel de DNS. Por ejemplo, un sitio web bloqueado en China, como twitter.com, puede tener sus registros DNS apuntando a una dirección incorrecta en los servidores DNS en China. Esto daría lugar a que Twitter sea inaccesible por medios normales. Piense en esto como China envenenando intencionalmente sus propios cachés de servidor DNS.

    En 2010, un proveedor de servicios de Internet fuera de China configuró erróneamente sus servidores DNS para obtener información de los servidores DNS en China. Obtuvo los registros DNS incorrectos de China y los almacenó en caché en sus propios servidores DNS. Otros proveedores de servicios de Internet obtuvieron información de DNS de ese proveedor de servicios de Internet y la utilizaron en sus servidores DNS. Las entradas de DNS envenenadas continuaron propagándose hasta que algunas personas en los EE. UU. No pudieron acceder a Twitter, Facebook y YouTube en sus proveedores de servicios de Internet estadounidenses. El Gran Cortafuegos de China se había "filtrado" fuera de sus fronteras nacionales, impidiendo que personas de otras partes del mundo accedieran a estos sitios web. Esto funcionó esencialmente como un ataque de envenenamiento de DNS a gran escala. (Fuente.)

    La solución

    La verdadera razón por la que el envenenamiento de la memoria caché del DNS es un problema de este tipo es porque no hay una manera real de determinar si las respuestas DNS que recibe son realmente legítimas o si han sido manipuladas..

    La solución a largo plazo para el envenenamiento de caché de DNS es DNSSEC. DNSSEC permitirá que las organizaciones firmen sus registros DNS utilizando criptografía de clave pública, asegurándose de que su computadora sabrá si un registro DNS debe ser confiable o si está envenenado y redirige a una ubicación incorrecta.

    • Más información: cómo DNSSEC ayudará a proteger Internet y cómo SOPA casi lo hizo ilegal

    Crédito de la imagen: Andrew Kuznetsov en Flickr, Jemimus en Flickr, NASA.