El envenenamiento de la caché de DNS, también conocido como suplantación de DNS, es un tipo de ataque que aprovecha las vulnerabilidades del sistema de nombres de dominio (DNS) para desviar el tráfico de Internet de servidores legítimos a servidores falsos.
Una de las razones por las que el envenenamiento del DNS es tan peligroso es que puede propagarse de un servidor DNS a otro. En 2010, un evento de envenenamiento del DNS permitió al Gran Cortafuegos de China escapar temporalmente de las fronteras nacionales de China, censurando Internet en los Estados Unidos hasta que se resolviera el problema.
Cómo funciona el DNS
Siempre que su computadora contacte con un nombre de dominio como «google.com», primero debe comunicarse con su servidor DNS. El servidor DNS responde con una o más direcciones IP a las que su computadora puede acceder a google.com. Luego, su computadora se conectará directamente a esta dirección IP numérica. DNS convierte direcciones legibles por humanos como «google.com» en direcciones IP legibles por computadora como «173.194.67.102».
Almacenamiento en caché de DNS
Internet no tiene un solo servidor DNS, lo que sería extremadamente ineficiente. Su proveedor de servicios de Internet mantiene sus propios servidores DNS, que almacenan en caché información de otros servidores DNS. El enrutador de su hogar funciona como un servidor DNS, que almacena en caché información de los servidores DNS de su ISP. Su computadora tiene una caché de DNS local, por lo que puede consultar rápidamente las búsquedas de DNS que ya ha realizado en lugar de realizar una búsqueda de DNS una y otra vez.
Envenenamiento de la caché de DNS
Una caché de DNS se puede envenenar si contiene una entrada incorrecta. Por ejemplo, si un atacante toma el control de un servidor DNS y modifica parte de la información allí, por ejemplo, podría decir que google.com está apuntando a una dirección IP que posee el atacante, ese servidor DNS preguntará a sus usuarios para buscar Google.com en la dirección incorrecta. La dirección del atacante podría contener algún tipo de sitio web de phishing malicioso
El envenenamiento del DNS como este también se puede propagar. Por ejemplo, si varios ISP obtienen su información de DNS del servidor comprometido, la entrada de DNS envenenada se propagará a los ISP y se almacenará en caché allí. Luego se propagará a los enrutadores domésticos y las cachés de DNS en las computadoras a medida que busquen la entrada de DNS, reciban la respuesta incorrecta y la almacenen.
El gran cortafuegos chino se extiende a Estados Unidos
Este no es solo un problema teórico, ha sucedido en el mundo real a gran escala. Una de las formas en que funciona el Gran Cortafuegos Chino es bloqueando a nivel de DNS. Por ejemplo, un sitio web bloqueado en China, como twitter.com, puede tener sus registros DNS apuntando a una dirección incorrecta en los servidores DNS en China. Esto haría que Twitter sea inaccesible por medios normales. Piense en ello como si China envenena intencionalmente sus propios cachés de servidor DNS.
En 2010, un proveedor de servicios de Internet fuera de China configuró por error sus servidores DNS para recuperar información de los servidores DNS en China. Recogió los registros DNS incorrectos de China y los almacenó en caché en sus propios servidores DNS. Otros ISP han recuperado información de DNS de este ISP y la han utilizado en sus servidores DNS. Las venenosas entradas de DNS continuaron propagándose hasta que algunas personas en los Estados Unidos no pudieron acceder a Twitter, Facebook y YouTube en sus proveedores de servicios de Internet estadounidenses. El Gran Cortafuegos de China se había «filtrado» fuera de sus fronteras nacionales, impidiendo que personas de otras partes del mundo accedan a estos sitios web. Básicamente funcionó como un ataque de envenenamiento de DNS a gran escala. (La fuente.)
La solución
La verdadera razón por la que el envenenamiento de la caché de DNS es un problema es que no existe una forma real de determinar si las respuestas de DNS que recibe son realmente legítimas o si han sido manipuladas.
La solución a largo plazo para el envenenamiento de la caché de DNS es DNSSEC. DNSSEC permitirá a las organizaciones firmar sus registros DNS utilizando criptografía de clave pública, asegurando que su computadora sepa si un registro DNS necesita ser confiable o si ha sido envenenado y redirigido a una ubicación incorrecta.
Credito de imagen: Andrew Kuznetsov en Flickr, Jemimus en Flickr, Nasa