Ataques DNS: cómo se llevan a cabo y qué debes hacer para mitigarlos

Ataques DNS: cómo se llevan a cabo y qué debes hacer para mitigarlos

Lorena Fernández

Uno de los componentes esenciales para una eficaz conexión a Internet es el correcto funcionamiento de los servidores DNS. Sin embargo, éstos no se salvan de los ataques. A continuación, citamos algunos de los ataques DNS más peligrosos. Además de las medidas de protección y mitigación adecuadas para evitar caer en las graves consecuencias de estos tipos de ataques. Los ataques DNS son bastante conocidos por actuar mayormente a gran escala y los perjuicios económicos llegan fácilmente a los millones de euros.

DNS Caché Poisoning

Es uno de los ataques que se da con más frecuencia. El propósito principal es capturar usuarios mediante sitios web falsos y maliciosos. ¿Cómo es posible que un servidor DNS nos devuelva sitios sospechosos para poder apropiarse de nuestros datos personales? Más abajo, te mostramos un diagrama de funcionamiento y lo explicaremos paso a paso.

Imagina que quieres acceder a mail.google.com (Gmail), prácticamente sin darnos cuenta, un DNS envenenado (poisoned) nos redirecciona a un sitio bastante parecido a Gmail en donde nos pide los datos de usuario y contraseña. Como vemos, DNS Caché Poisoning es uno de los puentes más eficaces para otros ataques muy conocidos como el phishing. Este ataque nos demuestra qué es muy sencillo poder vulnerar los registros DNS de un servidor en particular para redirigir a los usuarios a sitios web que en realidad ellos no desean acceder.

Cómo prevenir y mitigar este ataque

A continuación, mostramos tres medidas que para ayudar a prevenir el DNS Caché Poisoning:

  • Una de las medidas esenciales consiste en la configuración de los servidores DNS como para que confíen lo menos posible en otros servidores DNS al momento de relacionarse entre sí. De esta manera, los cibercriminales tendrán menos posibilidades de alterar las configuraciones y los registros DNS de los servidores que tendrían como objetivo.
  • Otras acciones de configuración son: la restricción de las queries recursivas, almacenar datos que estén únicamente asociados con el dominio solicitado y restringir respuestas de queries a información únicamente proveniente del dominio solicitado.
  • El uso de la herramienta DNSSEC que tiene como propósito proveer autenticación de datos DNS de carácter confiable. Una de las ventajas de DNSSEC es que es posible limitar el número de peticiones DNS. Así también, es posible prevenir otros ataques importantes como DDoS.

Distributed Reflection Denial of Service (DRDoS)

¿Algo peor que los ataques DDoS? Así es. El ataque DRDoS tiene como propósito ser aún más grande que los DDoS, generando consecuencias devastadoras mediante métodos de ataques mucho más económicos y eficaces que DoS o DDoS, incluso. Los cibercriminales encontraron la manera de llevar a cabo ataques más grandes mediante la amplificación. De esta manera, ya no es necesaria una gran cantidad de hosts. Es por esta circunstancia, que este tipo de DoS tiene como distintivo a la «reflexión».

¿Cómo funciona? Quienes realizan los ataques, escogen a sus objetivos para poder ocultar su verdadera identidad al momento de llevarlos a cabo. Entonces, los cibercriminales se hacen pasar por sus objetivos mediante el IP Spoofing, es decir, se identifican por la dirección IP de la víctima en vez de la propia por obvias razones.

Luego, llevan a cabo solicitudes a través de protocolos muy vulnerables como UDP, por ejemplo. Este y otras clases de solicitudes requieren de una respuesta, por lo que el primer problema que aparece es que los objetivos deben recibir respuestas (en este caso, DNS) a solicitudes que en realidad nunca ha realizado.

A diferencia de otros tipos de ataques distribuidos DoS que se valen de botnets para funcionar, los ataques reflectivos DoS tan sólo necesitan de un listado de direcciones IP vulnerables. Estos son accesible mediante muchas herramientas que realizan escáneres de puertos o bien, simplemente ingresando al buscador Shodan. Es importante distinguir que estas IP vulnerables no son identificadas como para que el cibercriminal los ataque o los controle. Estas servirán como reflectores, a razón de que son accesibles a la respuesta de peticiones maliciosas.

Cómo prevenir y mitigar este ataque

A pesar de que es muy difícil mitigar un DRDoS, existen medidas de prevención que, a largo plazo, te protegerán ante este tipo de situaciones. Especialmente, a nivel organizacional:

  • Asegúrate de que tus servidores (incluyendo los DNS) estén localizados en distintos datacenters, así también, que formen parte de distintas redes/subredes de la organización.
  • Los data centers también deben contar con varias rutas alternativas de acceso, además de la principal.
  • Lo más importante: que tanto los data centers y las redes/subredes que están relacionadas no cuenten con agujeros de seguridad de ningún tipo de nivel de impacto.

Ataque de Dominio Fantasma

Se atacan los DNS resolvers y se abusa del uso de los recursos para tratar de resolver justamente a esos dominios fantasma. En realidad, por más que se intenta una y millones de veces, nunca se resolverán. Lo que los cibercriminales buscar lograr es que estos resolvers esperen una respuesta durante muchísimo tiempo, lo que tiene como consecuencia a los fallos de rendimiento de los servicios DNS o bien, un rendimiento bastante deteriorado.

A continuación, te citamos un listado de medidas que puedes aplicar para prevenir/mitigar este tipo de ataques:

  • Aumentar el número de clientes recursivos
  • Restringir las solicitudes recursivas por cada servidor, además de restringir las peticiones (inquiries) por zona.

Ataque de Subdominio Aleatorio

A pesar de que no es uno de los ataques más populares, es bastante difícil de identificar. Por lo que recomendamos prestar atención. Es bastante similar a los ataques DoS por su naturaleza y esquema de funcionamiento. Este ataque se lleva a cabo mediante el envío de muchísimas peticiones DNS a un dominio activo. Sin embargo, estas peticiones maliciosas no tienen como origen el dominio principal, sino más bien aquellos subdominios que no existen actualmente.

Es un ataque a subdominios, pero finalmente logra llevar acabo un ataque embebido de DoS que hace que el servidor DNS quede sin funcionar y con sus DNS lookups abajo.  Ya que recibe demasiadas solicitudes y se satura al momento de intentar resolver el dominio principal.

Ataques DNS de tipo Flood

El objetivo principal es sobrecargar al servidor DNS de manera que no pueda continuar gestionando las solicitudes DNS porque todas las zonas DNS en cuestión tienen influencia en el propósito de los registros de recursos.

Como se puede apreciar en el esquema más arriba, un atacante origina una botnet con muchísimos ordenadores que actúan como zombies, infectados claro está, con el claro propósito de atacar al servidor DNS con miles de solicitudes. Este es, probablemente, el caso más recurrente de un ataque DoS.

Este tipo de ataques normalmente se controlan de manera sencilla porque generalmente el origen viene de una sola dirección IP. Aunque la situación se complica en gran medida si es que se convierte en un DoS distribuido, es decir, un DDoS.

Concluyendo, las medidas de mitigación y prevención tienen como punto común un mayor control de los servidores DNS y su integridad. Por desgracia, muchas de estas medidas se aplican únicamente después de que se haya sido víctima de algún tipo de ataque. Es mejor prevenir que lamentar pérdidas, las cuales logran alcanzar sin mayores dificultades los millones de dólares.