El secuestro de DNS , el envenenamiento de DNS o la redirección de DNS es la práctica de subvertir la resolución de las consultas del Sistema de nombres de dominio (DNS). [1] Esto se puede lograr mediante malware que anula la configuración TCP / IP de una computadora para apuntar a un servidor DNS deshonesto bajo el control de un atacante, o modificando el comportamiento de un servidor DNS confiable para que no cumpla con los estándares de Internet. .
Estas modificaciones pueden realizarse con fines maliciosos, como phishing , con fines de autoservicio por parte de los proveedores de servicios de Internet (ISP), el Gran Cortafuegos de China y los proveedores de servidores DNS en línea públicos / basados en enrutadores para dirigir el tráfico web de los usuarios a los ISP. Servidores web propios donde se pueden publicar anuncios, recopilar estadísticas u otros fines del ISP; y por los proveedores de servicios de DNS para bloquear el acceso a dominios seleccionados como una forma de censura .
Experiencia técnica
Una de las funciones de un servidor DNS es traducir un nombre de dominio a una dirección IP que las aplicaciones necesitan para conectarse a un recurso de Internet como un sitio web . Esta funcionalidad se define en varios estándares formales de Internet que definen el protocolo con considerable detalle. Las computadoras y los usuarios con acceso a Internet confían implícitamente en los servidores DNS para que resuelvan correctamente los nombres en las direcciones reales registradas por los propietarios de un dominio de Internet.
Servidor DNS deshonesto
Un servidor DNS deshonesto traduce los nombres de dominio de sitios web deseables (motores de búsqueda, bancos, corredores, etc.) en direcciones IP de sitios con contenido no deseado, incluso sitios web maliciosos. La mayoría de los usuarios dependen de los servidores DNS asignados automáticamente por sus ISP . Los servidores DNS asignados a un enrutador también pueden modificarse mediante la explotación remota de una vulnerabilidad dentro del firmware del enrutador. [2] Cuando los usuarios intentan visitar sitios web, son enviados a un sitio web falso. Este ataque se denomina pharming . Si el sitio al que son redirigidos es un sitio web malintencionado, disfrazado de sitio web legítimo, para obtener información confidencial de forma fraudulenta, se denomina phishing . [3]
Manipulación por ISP
Un número de ISPs de consumo tales como AT & T , [4] Cablevision 's Optimum Online , [5] CenturyLink , [6] Cox Communications , RCN , [7] Rogers , [8] Charter Communications (Spectrum) , Plusnet , [9] Verizon , [10] Sprint , [11] T-Mobile EE . UU. , [12] Virgin Media , [13] [14] Frontier Communications , Bell Sympatico , [15] Deutsche Telekom AG , [16] Optus , [17] Mediacom , [18] ONO , [19] TalkTalk , [20] Bigpond ( Telstra ), [21] [22] [23] [24] TTNET, Türksat y Telkom Indonesia [25] utilizan o utilizaron el secuestro de DNS para sus propios fines, como mostrar anuncios [26] o recopilar estadísticas. Los ISP holandeses XS4ALL y Ziggo utilizan el secuestro de DNS por orden judicial: se les ordenó bloquear el acceso a The Pirate Bay y mostrar una página de advertencia en su lugar. [27] Estas prácticas violan el estándar RFC para respuestas de DNS (NXDOMAIN), [28] y potencialmente pueden abrir a los usuarios a ataques de secuencias de comandos entre sitios . [26]
La preocupación por el secuestro de DNS implica este secuestro de la respuesta de NXDOMAIN. Las aplicaciones de Internet e intranet se basan en la respuesta de NXDOMAIN para describir la condición en la que el DNS no tiene una entrada para el host especificado. Si uno consultara el nombre de dominio no válido (por ejemplo, www.example.invalid), debería obtener una respuesta NXDOMAIN, informando a la aplicación que el nombre no es válido y tomando la acción apropiada (por ejemplo, mostrar un error o no intentar conectarse al servidor). Sin embargo, si se consulta el nombre de dominio en uno de estos ISP no compatibles, siempre se recibiría una dirección IP falsa perteneciente al ISP. En un navegador web , este comportamiento puede ser molesto u ofensivo, ya que las conexiones a esta dirección IP muestran la página de redireccionamiento del ISP del proveedor, a veces con publicidad, en lugar de un mensaje de error adecuado. Sin embargo, otras aplicaciones que se basan en el error NXDOMAIN intentarán iniciar conexiones a esta dirección IP falsificada, exponiendo potencialmente información confidencial.
Ejemplos de funciones que se rompen cuando un ISP secuestra el DNS:
- Se hará creer falsamente a las laptops móviles que son miembros de un dominio de Windows Server que están nuevamente en una red corporativa porque los recursos como controladores de dominio , servidores de correo electrónico y otra infraestructura parecerán estar disponibles. Por lo tanto, las aplicaciones intentarán iniciar conexiones a estos servidores corporativos, pero fallarán, lo que provocará un rendimiento degradado, tráfico innecesario en la conexión a Internet y tiempos de espera .
- Muchas redes domésticas y de oficinas pequeñas no tienen su propio servidor DNS, sino que dependen de la resolución de nombres de transmisión . Muchas versiones de Microsoft Windows dan prioridad de forma predeterminada a la resolución de nombres DNS por encima de las difusiones de resolución de nombres NetBIOS; por lo tanto, cuando un servidor DNS ISP devuelve una dirección IP (técnicamente válida) para el nombre de la computadora deseada en la LAN, la computadora que se conecta usa esta dirección IP incorrecta e inevitablemente falla al conectarse a la computadora deseada en la LAN. Las soluciones incluyen usar la dirección IP correcta en lugar del nombre de la computadora, o cambiar el valor de registro DhcpNodeType para cambiar el orden del servicio de resolución de nombres. [29]
- Los navegadores como Firefox ya no tienen la funcionalidad 'Buscar por nombre' (donde las palabras clave escritas en la barra de direcciones llevan a los usuarios al sitio que coincida más cercano). [30]
- El cliente de DNS local integrado en los sistemas operativos modernos almacenará en caché los resultados de las búsquedas de DNS por motivos de rendimiento. Si un cliente cambia entre una red doméstica y una VPN , las entradas falsas pueden permanecer almacenadas en caché, creando así una interrupción del servicio en la conexión VPN.
- Las soluciones antispam DNSBL se basan en DNS; Por lo tanto, los resultados de DNS falsos interfieren con su funcionamiento.
- Los datos confidenciales del usuario pueden ser filtrados por aplicaciones engañadas por el ISP haciéndoles creer que los servidores a los que desean conectarse están disponibles.
- La elección del usuario sobre qué motor de búsqueda consultar en caso de que una URL esté mal escrita en un navegador se elimina, ya que el ISP determina qué resultados de búsqueda se muestran al usuario.
- Las computadoras configuradas para usar un túnel dividido con una conexión VPN dejarán de funcionar porque los nombres de intranet que no deben resolverse fuera del túnel en la Internet pública comenzarán a resolverse como direcciones ficticias, en lugar de resolverse correctamente a través del túnel VPN en un servidor DNS privado cuando Se recibe una respuesta NXDOMAIN de Internet. Por ejemplo, un cliente de correo que intenta resolver el registro A de DNS para un servidor de correo interno puede recibir una respuesta de DNS falsa que lo dirige a un servidor web de resultados pagados, con mensajes en cola para su entrega durante días, mientras que la retransmisión se intentó en vano. [31]
- Se rompe Protocolo de descubrimiento automático de proxy web (WPAD) por los principales navegadores web a creer erróneamente que el ISP tiene un servidor proxy configurado.
- Rompe el software de monitoreo. Por ejemplo, si uno se comunica periódicamente con un servidor para determinar su estado, un monitor nunca verá una falla a menos que el monitor intente verificar la clave criptográfica del servidor.
En algunos casos, pero no en la mayoría de los casos, los ISP proporcionan ajustes configurables por el suscriptor para deshabilitar el secuestro de las respuestas de NXDOMAIN. Implementado correctamente, esta configuración revierte el DNS al comportamiento estándar. Sin embargo, otros ISP utilizan una cookie de navegador web para almacenar la preferencia. En este caso, el comportamiento subyacente no se resuelve: las consultas de DNS continúan siendo redirigidas, mientras que la página de redireccionamiento del ISP se reemplaza con una página de error de DNS falsificada. Las aplicaciones distintas de los navegadores web no pueden excluirse del esquema utilizando cookies, ya que la exclusión se dirige solo al protocolo HTTP , cuando el esquema se implementa realmente en el sistema DNS neutral del protocolo.
Respuesta
En el Reino Unido, la Oficina del Comisionado de Información ha reconocido que la práctica de secuestro involuntario de DNS contraviene el PECR y la Directiva de la CE 95/46 sobre protección de datos, que requieren el consentimiento explícito para el procesamiento del tráfico de comunicaciones. Sin embargo, se han negado a intervenir, alegando que no sería sensato hacer cumplir la ley, porque no causaría un perjuicio significativo (o incluso alguno) demostrable a las personas. [13] [14] En Alemania, en 2019 se reveló que Deutsche Telekom AG no solo manipuló sus servidores DNS, sino que también transmitió tráfico de red (como cookies no seguras cuando los usuarios no usaban HTTPS ) a una empresa externa. porque el portal web T-Online, al que se redirigía a los usuarios debido a la manipulación del DNS, ya no era propiedad de Deutsche Telekom. Después de que un usuario presentó una denuncia penal, Deutsche Telekom detuvo más manipulaciones de DNS. [32]
ICANN , el organismo internacional responsable de administrar los nombres de dominio de nivel superior, ha publicado un memorando en el que destaca sus preocupaciones y afirma: [31]
ICANN desaconseja encarecidamente el uso de redireccionamiento de DNS, comodines, respuestas sintetizadas y cualquier otra forma de sustitución de NXDOMAIN en gTLD, ccTLD y cualquier otro nivel existente en el árbol de DNS para nombres de dominio de clase de registro.
Remedio
Los usuarios finales, insatisfechos con las malas opciones de "exclusión voluntaria" como las cookies, han respondido a la controversia encontrando formas de evitar respuestas falsas de NXDOMAIN. El software DNS como BIND y Dnsmasq ofrece opciones para filtrar resultados y se puede ejecutar desde una puerta de enlace o enrutador para proteger una red completa. Google, entre otros, ejecuta servidores DNS abiertos que actualmente no devuelven resultados falsificados. Por lo tanto, un usuario podría usar el DNS público de Google en lugar de los servidores DNS de su ISP si está dispuesto a aceptar que usa el servicio según la política de privacidad de Google y potencialmente estar expuesto a otro método por el cual Google puede rastrear al usuario. Una limitación de este enfoque es que algunos proveedores bloquean o reescriben solicitudes de DNS externas. OpenDNS , propiedad de Cisco, es un servicio popular similar que no altera las respuestas de NXDOMAIN.
Google en abril de 2016 lanzó el servicio DNS sobre HTTPS. [33] Este esquema puede superar las limitaciones del protocolo DNS heredado. Realiza una verificación DNSSEC remota y transfiere los resultados en un túnel HTTPS seguro.
También existen soluciones alternativas a nivel de aplicación, como la extensión NoRedirect [34] de Firefox , que mitigan parte del comportamiento. Un enfoque como ese solo corrige una aplicación (en este ejemplo, Firefox) y no abordará ningún otro problema causado. Los propietarios de sitios web pueden engañar a algunos secuestradores mediante el uso de ciertas configuraciones de DNS. Por ejemplo, establecer un registro TXT de "no utilizado" en su dirección comodín (por ejemplo, * .example.com). Alternativamente, pueden intentar configurar el CNAME del comodín en "example.invalid", haciendo uso del hecho de que se garantiza que '.invalid' no existe según el RFC. La limitación de ese enfoque es que solo evita el secuestro en esos dominios en particular, pero puede abordar algunos problemas de seguridad de VPN causados por el secuestro de DNS.
Ver también
- Portal cautivo
- Envenenamiento de la caché de DNS
- Revinculación de DNS
- Suplantación de DNS
- Secuestro de dominio
- protocolo de configuración huésped dinámico
- Pharming
- Protocolo punto a punto
- Ataque de suplantación
- Ataque de restablecimiento de TCP
- Trojan.Win32.DNSChanger
Referencias
- ^ "Qué es un secuestro de DNS | Explicación de los ataques de redirección | Imperva" . Centro de aprendizaje . Consultado el 13 de diciembre de 2020 .
- ^ "La falla de secuestro de DNS afecta al enrutador DSL D-Link, posiblemente a otros dispositivos" .
- ^ "Servidores del sistema de nombres de dominio no autorizados" . Trend Micro . Consultado el 15 de diciembre de 2007 .
- ^ "Página de asistencia ATT DNS" . Consultado el 24 de febrero de 2018 .
- ^ "Optimum Online DNS Assistance" . Archivado desde el original el 13 de agosto de 2009.
- ^ "Re: [Qwest] Optar por no participar en el secuestro de CenturyLink Web Helper, no en los foros de CenturyLink | DSLReports" . Informes DSL . Consultado el 12 de octubre de 2016 .
- ^ "¿Quién robó mi navegador web?" .
- ^ "Rogers utiliza la inspección profunda de paquetes para la redirección de DNS" . dslreports.com. 20 de junio de 2008 . Consultado el 15 de junio de 2010 .
- ^ "Los proveedores de servicios de Internet del Reino Unido proporcionan cdn para Google" . equk.co.uk . Consultado el 25 de octubre de 2015 .
- ^ "Optar por no recibir asistencia de DNS" . Archivado desde el original el 12 de febrero de 2015 . Consultado el 12 de febrero de 2015 .
- ^ "¿Las torres Sprint 3G y 4G están secuestrando las respuestas de NXDOMAIN? Más información en los comentarios ... • r / Sprint" . reddit . Consultado el 24 de febrero de 2018 .
- ^ "¿Cómo desactivo el secuestro de NXDOMAIN? • r / tmobile" . reddit . Consultado el 24 de febrero de 2018 .
- ^ a b "ICO: No detendremos la búsqueda avanzada de errores de red" .[ enlace muerto permanente ]
- ^ a b "Número de referencia de caso ENQ0265706" (PDF) .
No estoy convencido de que exista alguna posibilidad de perjuicio o perjuicio para los suscriptores o usuarios que justifique la adopción de medidas formales en este caso.
[ enlace muerto permanente ] - ^ "Bell comienza a secuestrar consultas de dominio NS" .
- ^ Reiko Kaps (17 de abril de 2009). "Telekom leitet DNS-Fehlermeldungen um" (en alemán) . Consultado el 9 de diciembre de 2019 .
- ^ "Optus '" Acerca de la página de resultados de búsqueda " " . Archivado desde el original el 13 de julio de 2012 . Consultado el 10 de diciembre de 2009 .
- ^ "¿Quieres un ejemplo del mundo real de por qué necesitamos la neutralidad de la red? Tengo uno aquí" .
- ^ "XSS Reflected dnssearch.Ono.es NXD redirect" . 10 de mayo de 2010. Archivado desde el original el 12 de junio de 2018 . Consultado el 24 de febrero de 2018 .
- ^ "TalkTalk - Buscar" . error.talktalk.co.uk . Consultado el 24 de febrero de 2018 .
- ^ "BigPond redirige los errores tipográficos a la página de búsqueda de marca 'poco ética'" . CRN Australia . Consultado el 24 de febrero de 2018 .
- ^ "Protocolo de DNS corrupto de la Carta, es decir, secuestro de hosts" .
- ^ "secuestro de dns de road runner que causa páginas web lentas" . Archivado desde el original el 10 de diciembre de 2010.
- ^ "Rogers viola la neutralidad de la red al secuestrar búsquedas de DNS fallidas" . Archivado desde el original el 27 de julio de 2008.
- ^ Tanjung, Tidar. "Bagaimana internet positif Telkom bekerja?" . Consultado el 11 de junio de 2018 .
- ^ a b Singel, Ryan (19 de abril de 2008). "Los anuncios de la página de error de los ISP permiten a los piratas informáticos secuestrar toda la web, revela el investigador" . Cableado .
- ^ Digined. "XS4ALL blokkeert adressen Pirate Bay voorlopig | XS4ALL Weblog" . blog.xs4all.nl (en holandés) . Consultado el 5 de octubre de 2017 .
- ^ "Caché negativo de consultas DNS" .
- ^ "NetBIOS y WINS" . howtonetworking.com . Consultado el 24 de febrero de 2018 .
- ^ "Uso de la extensión Firefox + NoRedirect para evitar el secuestro de DNS" . Archivado desde el original el 3 de marzo de 2011.
- ^ a b "Daños causados por la sustitución de NXDOMAIN en el nivel superior y otros nombres de dominio de la clase de registro" (PDF) . ICANN . 24 de noviembre de 2009 . Consultado el 23 de septiembre de 2010 .
- ^ "Telekom beendet DNS-Hijacking" .
- ^ "DNS sobre HTTPS: DNS público" . Desarrolladores de Google . 4 de septiembre de 2018 . Consultado el 12 de marzo de 2019 .
- ^ "NoRedirect - Complementos para Firefox" . addons.mozilla.org . Consultado el 24 de febrero de 2018 .