Internet Seguridad

Ataque por envenenamiento de DNS (DNS Poisoning Attack)

Como la entrada al nuevo año 2011 ha sido un poco problemática por no haber encontrado un proveedor de hosting decente, espero que la entrada que trataré de redactar a continuación sea de tu agrado y lo más amena posible.

En esta ocasión hablaremos sobre los ataques DNS, un tema sobre seguridad y de redes que quizás más de uno pueda estar preguntándose en estos momentos… ¿qué es un ataque DNS?

¿Qué es un ataque de DNS (DNS Poisoning Attack)?

Pues evidentemente se trata de un ataque o envenenamiento que también se denomina “DNS spoofing” y resulta cuando un atacante es capaz de redirigir a la víctima a una página web diferente de la que teclea en su navegador web.

Me explicaré con algún ejemplo:

Supongamos que escribes en tu explorador web la siguiente dirección “http://www.google.es” y en lugar de aparecer la página oficial de Google, estás viendo otra que no se trata de Google.

¿Qué es DNS?

DNS proviene de Domain Name Server, es decir, un nombre de dominio para el servidor o también podríamos llamarlo Domain Name System, sistema de nombre de dominios. Su uso es vital para recodar las páginas webs, pues estas son reconocidas en los sistemas mediante el uso de las IP,s (Internet Protocol), es decir, los protocolos de Internet, cuyas direcciones emplean números.

La mente humana es capaz de recodar mejor las letras que los números, pongamos un ejemplo visual:

Si introdujéramos en nuestro navegador la IP: 74.125.230.82 automáticamente veríamos la web de google, lo que equivaldría a escribir en dicho navegador http://www.google.es, siendo esta última forma, más eficiente y con posibilidades de recordar. En el caso de que no existieran los DNS,s podríamos estar algo perdidos y seguramente tendríamos que ir anotando las IP,s de aquellas webs que nos interesan.

Por tanto podemos decir que el sistema de DNS es una base de datos masiva, en la que se incluyen millones de nombres de dominios y sus correspondientes equivalentes IP,s. Este sistema controla miles de millones de peticiones diarias. A pesar de ser un sistema que se distribuye por todo el mundo, éste actúa como un único sistema.

¿Cuándo hablamos de ataque por DNS?

Estaremos hablando de un ataque de DNS,s cuando este se produce debido a la modificación de la tabla hosts. Esta tabla no es más que un fichero que contiene una lista de IP,s y su correspondiente nombre de dominio.

Cada vez que accedemos a una página web, previamente el archivo Hosts es consultado, éste es como un directorio telefónico pero conteniendo direcciones IP y nombres de páginas web.
Si la página a la que queremos acceder se encuentra en la lista de páginas autorizadas del archivo Hosts, entonces el acceso es inmediato. En cambio, si está en la lista de páginas prohibidas, el acceso es bloqueado. Si la página no se encuentra en el archivo, entonces será nuestro proveedor de acceso a Internet (ISP) quien se encargará de relacionar la dirección IP de la página Web solicitada.
Modificando el archivo Hosts, podemos:

  • Bloquear el acceso a páginas Web no deseadas,
  • Acelerar el acceso a páginas Web que visitamos frecuentemente, cuyas direcciones IP conocemos
  • Superar la prohibición de ingresar a sitios seguros, ocasionado por algunos programas maliciosos.

Si la tabla de llamada del sistema host no tiene la dirección IP correcta almacenada localmente a continuación, entra en contacto con un DNS externo para la dirección IP correcta. Si un atacante es capaz de comprometer las entradas en la tabla de la máquina se pueden dirigir los nombres de sitios web a cualquier dirección IP que deseen.

El archivo “hosts” se encuentra localizado en la ruta “c:\Windows\system32\drivers\etc\”. Para el caso de la imagen, si sustituimos las “x” por una ip de otra página cualquiera, como por ejemplo la de google “74.125.230.82” al introducir en nuestro navegador “verasoul.com” o “www.verasoul.com” en lugar de acceder al blog, accederías a la página de Google.

Una forma de prevenir un ataque de envenenamiento de DNS es asegurar que la última versión del software de DNS, llamado Berkeley Internet Name Domain (BIND), este instalado y actualizado..