ıllı Internet y Tecnologías de la Información (2018)

internet, Hosting, dominios, seo, antivirus, banco de imágenes, páginas web, tiendas online

[Enciclopedia Online Gratuita] Diccionario de Internet y Tecnologías de la Información y la Comunicación (TIC):

ıllı Envenenamiento de DNS wiki: info, historia y vídeos

videos internet

salud  Envenenamiento de DNS 


Normalmente, una computadora conectada a Internet emplea un servidor DNS proporcionado por el distribuidor de servicios de Internet (ISP). Este DNS normalmente atiende únicamente a los propios clientes del servicio del ISP y contiene una pequeña cantidad de información sobre DNS guardada provisionalmente por usuarios anteriores del servidor. Un ataque de envenenamiento (poisoning attack) de un solo servidor DNS de un ISP puede afectar a los usuarios atendidos de manera directa por el servidor comprometido o bien de forma indirecta por los servidores dependientes del servidor.


Para efectuar un ataque de envenenamiento de caché, el atacante explota una vulnerabilidad en el software de DNS que puede hacer que este admita información incorrecta. Si el servidor no valida apropiadamente las contestaciones DNS para cerciorarse de que proceden de una fuente autoritativa, el servidor puede acabar guardando de forma local información incorrecta y enviándola a los usuarios a fin de que hagan exactamente la misma solicitud.


Esta técnica puede ser utilizada para sustituir arbitrariamente contenido de una serie de víctimas con contenido escogido por un atacante. Por poner un ejemplo, un atacante envenena las entradas DNS de direcciones IP para un sitio objetivo, reemplazándolas con la dirección IP de un servidor que controla. Entonces, el atacante crea entradas falsas para ficheros en el servidor que controla con nombres que coinciden con los ficheros del servidor objetivo. Estos ficheros pueden contener contenido malicioso, como un virus o bien un verme. Un usuario cuya computadora ha referido al servidor DNS envenenado puede ser engañado al opinar que el contenido procede del servidor objetivo y sin saberlo descarga contenido malicioso.


Como una parte del proyecto Golden Shield, China, de manera regular usa envenenamiento de DNS para redes o bien sitios concretos que violan las políticas bajo las que el proyecto opera./P>

En las próximas variaciones, las entradas del servidor ns.wikipedia.org pueden ser envenenadas y redirigidas al servidor de nombres del atacante en la dirección w.x.y.z. Estos ataques aceptan que el servidor para wikipedia.org es ns.wikipedia.org.


Para lograr éxito en el ataque, el atacante debe forzar que el servidor DNS objetivo haga una solicitud cara un dominio controlado por uno de los servidores de nombres del atacante.


Redirección al servidor de nombres del dominio objetivo


La primera variación del envenenamiento de caché de DNS implica redirigir el nombre del servidor del atacante del dominio cara el servidor de nombres del dominio objetivo, entonces se asigna a dicho servidor de nombres una dirección IP detallada por el atacante.


Petición del servidor DNS: cuáles son los registros de direcciones para subdominio.ejemplo.com?

subdominio.ejemplo.com. IN A

Respuesta del atacante:

Answer:(no response)
Authority section:example.com. tres mil seiscientos IN NS ns.wikipedia.org
Additional section:ns.wikipedia.org. IN A w.x.y.z

Un servidor frágil puede guardar en caché el registro A auxiliar (la dirección IP) para ns.wikipedia.org, dejando al atacante solucionar consultas para todo el dominio wikipedia.org.


Redirigir el registro DNS a otro dominio objetivo


La segunda variación de envenenamiento de caché DNS implica redirigir el servidor de nombres de otro dominio cara otro dominio no relacionado a la solicitud original de una dirección IP concretada por el atacante.


Petición del servidor DNS: cuáles son los registros de dirección para subdominio.ejemplo.com?

subdominio.ejemplo.com. IN A

Respuesta del atacante:

Answer:(no response)
Authority section:wikipedia.org. tres mil seiscientos IN NS ns.ejemplo.com.
Additional section:ns.ejemplo.com. IN A w.x.y.z

Un servidor frágil puede guardar la información de autoridad no relacionada de los registros de servidor de nombres de wikipedia.org, dejando al atacante solucionar consultas para todo el dominio wikipedia.org.


Responder ya antes del servidor de nombres real


La tercera variación de envenenamiento de caché de DNS, que es llamada falsificación de DNS (DNS Forgery) implica hacer retardar la contestación real cara una consulta recursiva DNS cara el servidor DNS. Las consultas DNS poseen un número identificador (nonce) de dieciseis bits, usado para identificar las contestaciones asociadas a una contestación dada. Si el atacante puede pronosticar de forma exitosa el valor de tal número identificador y devolver la contestación primero, el servidor admitirá la contestación del atacante como válida. Si el servidor escoge de manera aleatoria el puerto origen de contestación, el ataque se volverá más difícil, puesto que la contestación falsa ha de ser mandada por exactamente el mismo puerto lugar desde donde la consulta se produjo.


Enviando un número de solicitudes simultáneas de DNS al servidor para forzarlo a mandar más consultas recursivas, la probabilidad de pronosticar de forma exitosa uno de los números identificadores se acrecienta. Esta modificación es una forma de ataque de aniversario (birthday attack).


Muchos ataques de envenenamiento de caché contra servidores DNS pueden evitarse al sospechar de la información que otros servidores DNS les pasan y también ignorar cualquier registro DNS pasado que no sea de forma directa relevante para la consulta. Por poner un ejemplo, las versiones de BIND noventa y cinco-P1 y superiores efectúan estas comprobaciones. La aleatorización del puerto de origen para peticiones DNS, conjuntada con el empleo de números azarosos criptográficamente seguros para elegir tanto el puerto de origen como el nonce criptográfico de dieciseis bits , puede reducir en buena medida la probabilidad de ataques triunfantes de DNS.


Una versión segura de DNS, DNSSEC, emplea firmas criptográficas electrónicas ratificadas con un certificado digital fiable para determinar la autenticidad de los datos.DNSSEC puede bloquear ataques de envenenamiento de caché, mas hasta dos mil ocho todavía no estaba difundido extensamente.


Este género de ataque puede ser mitigado asimismo por las capas de transporte o bien aplicación para lograr validación extremo a extremo (end-to-end validation) en el momento en que una conexión es establecida sobremanera. Un caso común de esto es el empleo de Seguridad de Capa de Transporte y firmas digitales. Por poner un ejemplo, utilizando la versión segura de HTTP, HTTPS, los usuarios pueden contrastar si el certificado digital es válido y pertenece al dueño aguardado de un sitio. De forma afín, el programa de comienzo de sesión recóndito SSH comprueba certificados digitales en los extremos (si los conoce) ya antes de continuarse con una sesión. Para aplicaciones que descargan actualizaciones de manera automática, la aplicación puede alojar una copia local del certificado digital de los datos y validar el certificado guardado en la actualización de software contra el certificado alojado.


  ELIGE TU TEMA DE INTERÉS: 


autoayuda.es   Internet y Tecnologias 

Está aquí: Inicio > [ INTERNET ] > ıllı Envenenamiento de DNS wiki: info, historia y vídeos

Las cookies nos permiten ofrecer nuestros servicios. Al utilizar nuestros servicios, aceptas el uso que hacemos de las cookies. Ver políticas