Un ataque al DNS sucede cuando un hacker aprovecha las vulnerabilidades del Sistema de Nombres de Dominio (DNS). Los tipos de ataques que se utilizan hoy en día son numerosos y complejos y se valen de la información que se da entre servidores y clientes.
Por ende, la prioridad que deberá asumir toda organización es la revisión de las medidas necesarias ante este tipo de ataques y en esta ocasión te presentaremos los ataques más comunes y cómo pueden prevenirse.
¿Qué es el Sistema de Nombres de Dominio?
Es un sistema que posibilita la conexión a los sitios web logrando coincidir los nombres de dominio legibles para los humanos con el ID único del servidor donde se almacena un sitio web.
Muchos expertos relacionan el DNS con la guía telefónica de Internet. Es decir, los DNS son números asociados con las direcciones de las páginas web. Cuando un usuario introduce un nombre de dominio como accessq.com.mx en una computadora, ésta busca la dirección IP y te conecta al lugar físico en donde se halla almacenado este sitio web, es decir, el servidor.
¿Cuáles son los ataques más comunes?
Existen muchos tipos de ataques a los DNS, pero en este artículo conocerás los más habituales.
Ataque de dominio fantasma
Este tipo de ataque se lleva a cabo configurando un grupo de servidores DNS “fantasma” que no responden a las solicitudes o lo hacen muy lentamente, interrumpiendo, así, las comunicaciones.
Cuando un servidor DNS no conoce una dirección IP buscará la dirección en otros servidores DNS conectados, esto se conoce como DNS recursivo. Los ataques de dominio fantasma son un método para interceptar ese proceso de búsqueda. En consecuencia se desaprovechan los recursos del servidor en aquellas búsquedas no funcionales o ineficientes.
Cuando los recursos se consumen completamente, el servidor recursivo de DNS puede ignorar las consultas legítimas y seguir centrándose en los servidores que no responden, causando graves problemas de rendimiento.
Bloqueo por DNS
El atacante configura dominios y resolutores especiales que están estructurados de tal forma que interrumpen la comunicación entre el servidor y el cliente, sin enviar la respuesta correcta, de modo que responden con paquetes de datos aleatorios. Este ataque mantiene al servidor ocupado y esperando una respuesta correcta (que nunca llega) agotando la reserva de conexiones disponibles.
Suplantación DNS (envenenamiento de caché)
Suplantación o envenenamiento de caché es un ataque en donde se corrompe un servidor DNS al reemplazar una dirección IP falsificada en el caché del servidor con la dirección de una no autorizada, y así, en vez de ir a un sitio web correcto, el tráfico se desvía a un sitio web malicioso.
Ataque de inundación
Una inundación de DNS es un tipo de ataque en el que los intrusos inundan los servidores de DNS de un dominio determinado en un intento de interrumpir la resolución de DNS para ese dominio. Al interrumpir la resolución del DNS, un ataque de inundación de DNS comprometerá la capacidad de respuesta de un sitio web, una API o una aplicación web al tráfico legítimo.
Cómo mitigar un ataque al DNS
Lo mejor que puede hacer una empresa ante los ataques de los DNS, de acuerdo con Bluecat, es la prevención. Y éstas pueden ser algunas de las medidas que pueden instalar en sus sistemas.
- Monitorización: El monitoreo continuo de todo el sistema ayuda a detectar problemas a tiempo, permitiendo que la respuesta frente a un ataque sea más efectiva.
- Firewall: Es una herramienta que ofrece diversos servicios de seguridad y funcionamiento, un firewall de DNS se ocupan de las amenazas cualitativas, en palabras simples, estos cortafuegos aplican políticas de seguridad a las consultas, tomando una decisión sobre si se debe permitir que cada consulta responda a esta petición. Un firewall también puede ofrecer asistencia para la limitación de velocidad para cerrar el acceso a los atacantes que intentan sobrecargar un servidor.
- Mitigación de DDoS: está diseñada para absorber las acometidas al DNS. Por lo general, esto significa enrutar el tráfico a través de un servicio de filtrado de tráfico que tiene suficiente ancho de banda para manejar la carga y puede eliminar el tráfico del ataque, reenviando el tráfico normal a través del servidor objetivo.
- La inteligencia de amenazas: este tipo de seguridad lleva a los Firewall del DNS al siguiente nivel. Donde los cortafuegos del DNS aplican protecciones de tipo general a los tipos de consulta u otras propiedades, la inteligencia de amenazas toma una lista de dominios maliciosos conocidos y la aplica como política de seguridad a través de un cortafuegos del DNS. Por lo general, estas fuentes se compran a terceros proveedores y simplemente se «conectan» a los cortafuegos del DNS existentes, pero también es posible que los usuarios creen sus propias versiones de fuentes de información.
Escríbenos a ventas@accessq.com.mx o en la Ciudad de México: // +52 55 1654 9001 y un especialista te dará más información acerca de la mejor solución para proteger a tu empresa.