Secuestro de DNS

Práctica de subvertir la resolución de consultas del Sistema de nombres de dominio

El secuestro de DNS , el envenenamiento de DNS o la redirección de DNS es la práctica de subvertir la resolución de las consultas del Sistema de nombres de dominio (DNS). ^[1] Esto se puede lograr mediante malware que anula la configuración TCP/IP de una computadora para apuntar a un servidor DNS falso bajo el control de un atacante, o modificando el comportamiento de un servidor DNS confiable para que no cumpla con los estándares de Internet . .

Estas modificaciones pueden realizarse con fines maliciosos, como phishing , con fines de autoservicio por parte de los proveedores de servicios de Internet (ISP), el Gran Cortafuegos de China y los proveedores de servidores DNS en línea públicos/basados ​​en enrutadores para dirigir el tráfico web de los usuarios a los sitios web del ISP. servidores web propios donde se pueden publicar anuncios, recopilar estadísticas u otros fines del ISP; y por parte de proveedores de servicios DNS para bloquear el acceso a dominios seleccionados como forma de censura .

Experiencia técnica

Una de las funciones de un servidor DNS es traducir un nombre de dominio en una dirección IP que las aplicaciones necesitan para conectarse a un recurso de Internet, como un sitio web . Esta funcionalidad está definida en varios estándares formales de Internet que definen el protocolo con considerable detalle. Los usuarios y las computadoras con acceso a Internet confían implícitamente en los servidores DNS para resolver correctamente los nombres en las direcciones reales registradas por los propietarios de un dominio de Internet.

Captura de pantalla de un comando de excavación que muestra una respuesta falsa de un servidor DNS iraní a una solicitud para resolver la Wikipedia persa

Servidor DNS falso

Un servidor DNS fraudulento traduce nombres de dominio de sitios web deseables (motores de búsqueda, bancos, corredores, etc.) en direcciones IP de sitios con contenido no deseado, incluso sitios web maliciosos. La mayoría de los usuarios dependen de servidores DNS asignados automáticamente por sus ISP . Los servidores DNS asignados a un enrutador también se pueden alterar mediante la explotación remota de una vulnerabilidad dentro del firmware del enrutador. ^[2] Cuando los usuarios intentan visitar sitios web, son enviados a un sitio web falso. Este ataque se denomina pharming . Si el sitio al que son redirigidos es un sitio web malicioso, que se hace pasar por un sitio web legítimo, con el fin de obtener información confidencial de manera fraudulenta, se denomina phishing . ^[3]

Manipulación por parte de los ISP

Varios ISP de consumo, como AT&T , ^[4] Optimum Online de Cablevision , ^[5] CenturyLink , ^[6] Cox Communications , RCN , ^[7] Rogers , ^[8] Charter Communications (Spectrum) , Plusnet , ^[9] Verizon , ^[10] Sprint , ^[11] T-Mobile EE. UU. , ^[12] Virgin Media , ^{[13] [14]} Frontier Communications , Bell Sympatico , ^[15] Deutsche Telekom AG , ^[16] Optus , ^[17] Mediacom , ^[18] ONO , ^[19] TalkTalk , ^[20] Bigpond ( Telstra ), ^{[21] [22] [23] [24]} TTNET, Türksat y todos los ISP clientes de Indonesia utilizan o utilizaron secuestro de DNS para sus propios fines, como como mostrar anuncios ^[25] o recopilar estadísticas. Los ISP holandeses XS4ALL y Ziggo utilizan el secuestro de DNS por orden judicial: se les ordenó bloquear el acceso a The Pirate Bay y mostrar una página de advertencia ^[26] , mientras que todos los ISP clientes en Indonesia realizan secuestro de DNS para cumplir con la ley nacional de DNS ^[27] , que requiere que cada cliente ISP de Indonesia se apodere del puerto 53 y lo redirija a su propio servidor para bloquear los sitios web que figuran en Trustpositif de Kominfo en la campaña Internet Sehat. Estas prácticas violan el estándar RFC para respuestas DNS (NXDOMAIN) ^[28] y potencialmente pueden exponer a los usuarios a ataques de secuencias de comandos entre sitios . ^[25]

La preocupación por el secuestro de DNS implica el secuestro de la respuesta de NXDOMAIN. Las aplicaciones de Internet e intranet dependen de la respuesta de NXDOMAIN para describir la condición en la que el DNS no tiene ninguna entrada para el host especificado. Si uno consultara el nombre de dominio no válido (por ejemplo, www.example.invalid), debería obtener una respuesta de NXDOMAIN, informando a la aplicación que el nombre no es válido y tomando la acción apropiada (por ejemplo, mostrar un error o no intentar conectarse al servidor). Sin embargo, si se consulta el nombre de dominio en uno de estos ISP que no cumplen, siempre se recibirá una dirección IP falsa que pertenece al ISP. En un navegador web , este comportamiento puede resultar molesto u ofensivo, ya que las conexiones a esta dirección IP muestran la página de redireccionamiento del ISP del proveedor, a veces con publicidad, en lugar de un mensaje de error adecuado. Sin embargo, otras aplicaciones que dependen del error NXDOMAIN intentarán iniciar conexiones a esta dirección IP falsificada, exponiendo potencialmente información confidencial.

Ejemplos de funcionalidad que se interrumpe cuando un ISP secuestra DNS:

• A las computadoras portátiles itinerantes que son miembros de un dominio de Windows Server se les hará creer falsamente que están nuevamente en una red corporativa porque recursos como controladores de dominio , servidores de correo electrónico y otra infraestructura parecerán estar disponibles. Por lo tanto, las aplicaciones intentarán iniciar conexiones a estos servidores corporativos, pero fallarán, lo que provocará un rendimiento degradado, tráfico innecesario en la conexión a Internet y tiempos de espera .
• Muchas redes domésticas y de pequeñas oficinas no tienen su propio servidor DNS, sino que dependen de la resolución de nombres de transmisión . Muchas versiones de Microsoft Windows priorizan de forma predeterminada la resolución de nombres DNS sobre las transmisiones de resolución de nombres NetBIOS; por lo tanto, cuando un servidor DNS de un ISP devuelve una dirección IP (técnicamente válida) para el nombre de la computadora deseada en la LAN, la computadora que se conecta utiliza esta dirección IP incorrecta e inevitablemente no logra conectarse a la computadora deseada en la LAN. Las soluciones alternativas incluyen usar la dirección IP correcta en lugar del nombre de la computadora o cambiar el valor del registro DhcpNodeType para cambiar el orden del servicio de resolución de nombres. ^[29]
• Los navegadores como Firefox ya no tienen la función 'Buscar por nombre' (donde las palabras clave escritas en la barra de direcciones llevan a los usuarios al sitio más cercano). ^[30]
• El cliente DNS local integrado en los sistemas operativos modernos almacenará en caché los resultados de las búsquedas de DNS por motivos de rendimiento. Si un cliente cambia entre una red doméstica y una VPN , las entradas falsas pueden permanecer almacenadas en caché, creando así una interrupción del servicio en la conexión VPN.
• Las soluciones antispam DNSBL se basan en DNS; Por lo tanto, los resultados DNS falsos interfieren con su funcionamiento.
• Los datos confidenciales del usuario pueden ser filtrados por aplicaciones engañadas por el ISP haciéndoles creer que los servidores a los que desean conectarse están disponibles.
• La elección del usuario sobre qué motor de búsqueda consultar en caso de que se escriba mal una URL en un navegador se elimina ya que el ISP determina qué resultados de búsqueda se muestran al usuario.
• Las computadoras configuradas para usar un túnel dividido con una conexión VPN dejarán de funcionar porque los nombres de intranet que no deben resolverse fuera del túnel a través de la Internet pública comenzarán a resolverse en direcciones ficticias, en lugar de resolverse correctamente a través del túnel VPN en un servidor DNS privado cuando Se recibe una respuesta NXDOMAIN de Internet. Por ejemplo, un cliente de correo que intenta resolver el registro DNS A de un servidor de correo interno puede recibir una respuesta DNS falsa que lo dirige a un servidor web de resultados pagos, con mensajes en cola para su entrega durante días mientras se intentaba en vano la retransmisión. ^[31]
• Rompe el Protocolo de detección automática de proxy web (WPAD) al hacer que los navegadores web crean incorrectamente que el ISP tiene un servidor proxy configurado.
• Rompe el software de monitoreo. Por ejemplo, si uno se comunica periódicamente con un servidor para determinar su estado, un monitor nunca verá una falla a menos que intente verificar la clave criptográfica del servidor.

En algunos casos, pero no en la mayoría, los ISP proporcionan configuraciones configurables por el suscriptor para desactivar el secuestro de respuestas de NXDOMAIN. Si se implementa correctamente, esta configuración revierte el DNS al comportamiento estándar. Otros ISP, sin embargo, utilizan una cookie de navegador web para almacenar la preferencia. En este caso, el comportamiento subyacente no se resuelve: las consultas de DNS continúan redireccionándose, mientras que la página de redireccionamiento del ISP se reemplaza por una página de error de DNS falsa. Las aplicaciones que no sean navegadores web no pueden optar por no participar en el esquema que utiliza cookies, ya que la exclusión voluntaria se dirige únicamente al protocolo HTTP , cuando el esquema en realidad se implementa en el DNS de protocolo neutral.

Respuesta

En el Reino Unido, la Oficina del Comisionado de Información ha reconocido que la práctica de secuestro involuntario de DNS contraviene PECR y la Directiva 95/46 de la CE sobre protección de datos, que requiere consentimiento explícito para el procesamiento del tráfico de comunicaciones. Sin embargo, se han negado a intervenir, alegando que no sería sensato hacer cumplir la ley, porque no causaría un perjuicio significativo (o incluso ninguno) demostrable a los individuos. ^{[13] [14]} En Alemania, en 2019 se reveló que Deutsche Telekom AG no solo manipulaba sus servidores DNS, sino que también transmitía tráfico de red (como cookies no seguras cuando los usuarios no usaban HTTPS ) a un tercero. porque el portal web T-Online, al que se redirigía a los usuarios debido a la manipulación del DNS, ya no era propiedad de Deutsche Telekom. Después de que un usuario presentara una denuncia penal, Deutsche Telekom detuvo más manipulaciones de DNS. ^[32]

ICANN , el organismo internacional responsable de administrar los nombres de dominio de alto nivel, ha publicado un memorando destacando sus preocupaciones y afirmando: ^[31]

ICANN desaconseja enfáticamente el uso de redirección de DNS, comodines, respuestas sintetizadas y cualquier otra forma de sustitución de NXDOMAIN en gTLD, ccTLD existentes y cualquier otro nivel en el árbol DNS para nombres de dominio de clase de registro.

Recurso

Los usuarios finales, insatisfechos con las malas opciones de "exclusión voluntaria" como las cookies, han respondido a la controversia encontrando formas de evitar respuestas falsificadas de NXDOMAIN. El software DNS como BIND y Dnsmasq ofrece opciones para filtrar resultados y se puede ejecutar desde una puerta de enlace o enrutador para proteger una red completa. Google, entre otros, ejecuta servidores DNS abiertos que actualmente no devuelven resultados falsificados. Por lo tanto, un usuario podría utilizar el DNS público de Google en lugar de los servidores DNS de su ISP si está dispuesto a aceptar que utilice el servicio según la política de privacidad de Google y potencialmente estar expuesto a otro método mediante el cual Google pueda rastrear al usuario. Una limitación de este enfoque es que algunos proveedores bloquean o reescriben solicitudes de DNS externas. OpenDNS , propiedad de Cisco, es un servicio popular similar que no altera las respuestas de NXDOMAIN.

Google lanzó en abril de 2016 el servicio DNS sobre HTTPS. ^[33] Este esquema puede superar las limitaciones del protocolo DNS heredado. Realiza una verificación DNSSEC remota y transfiere los resultados en un túnel HTTPS seguro.

También existen soluciones alternativas a nivel de aplicación, como la extensión NoRedirect ^[34] de Firefox , que mitigan parte del comportamiento. Un enfoque como ese sólo soluciona una aplicación (en este ejemplo, Firefox) y no solucionará ningún otro problema causado. Los propietarios de sitios web pueden engañar a algunos secuestradores utilizando determinadas configuraciones de DNS. Por ejemplo, establecer un registro TXT de "no utilizado" en su dirección comodín (por ejemplo, *.example.com). Alternativamente, pueden intentar establecer el CNAME del comodín en "example.invalid", aprovechando el hecho de que se garantiza que ".invalid" no existe según el RFC. La limitación de ese enfoque es que sólo previene el secuestro en esos dominios en particular, pero puede solucionar algunos problemas de seguridad de VPN causados ​​por el secuestro de DNS.

Ver también

• Portal cautivo
• Envenenamiento de caché DNS
• Volver a vincular DNS
• Suplantación de DNS
• Secuestro de dominio
• protocolo de configuración huésped dinámico
• Farmacéutica
• Protocolo punto a punto
• Ataque de suplantación de identidad
• Ataque de reinicio de TCP
• Trojan.Win32.DNSChanger

Referencias

1. "¿Qué es un secuestro de DNS? Explicación de los ataques de redireccionamiento | Imperva". Centro de Aprendizaje . Consultado el 13 de diciembre de 2020 .
2. Constantin, Lucian (27 de enero de 2015). "La falla de secuestro de DNS afecta al enrutador D-Link DSL y posiblemente a otros dispositivos" . Consultado el 21 de junio de 2017 .
3. "Servidores de sistemas de nombres de dominio no autorizados". Tendencia Micro . Consultado el 15 de diciembre de 2007 .
4. "Página de asistencia de DNS de ATT". 27 de marzo de 2017 . Consultado el 24 de febrero de 2018 .
5. "Asistencia DNS óptima en línea". Archivado desde el original el 13 de agosto de 2009.
6. "Re: [Qwest] Optar por no participar en el secuestro de CenturyLink Web Helper, no en - CenturyLink | Foros de DSLReports". Informes DSL . Consultado el 12 de octubre de 2016 .
7. "¿Quién robó mi navegador web?". 13 de octubre de 2009.
8. "Rogers utiliza una inspección profunda de paquetes para la redirección de DNS". dslreports.com. 20 de junio de 2008 . Consultado el 15 de junio de 2010 .
9. "El ISP del Reino Unido proporciona cdn para Google". equk.co.uk. _ Consultado el 25 de octubre de 2015 .
10. "Optar por no recibir asistencia DNS". Archivado desde el original el 12 de febrero de 2015 . Consultado el 12 de febrero de 2015 .
11. "¿Las torres Sprint 3G y 4G están secuestrando las respuestas de NXDOMAIN? Más información en los comentarios... • r/Sprint". Reddit . 5 de septiembre de 2014 . Consultado el 24 de febrero de 2018 .
12. "¿Cómo desactivo el secuestro de NXDOMAIN? • r/tmobile". Reddit . 20 de julio de 2015 . Consultado el 24 de febrero de 2018 .
13. "ICO: no detendremos la búsqueda avanzada de errores de red". Archivado desde el original el 17 de febrero de 2015.
14. "Número de referencia del caso ENQ0265706" (PDF) . No estoy convencido de que exista alguna probabilidad de perjuicio o daño a los suscriptores o usuarios que justifique tomar medidas formales en este caso.^{[ enlace muerto permanente ]}
15. "Bell comienza a secuestrar consultas de dominio NS".
16. Reiko Kaps (17 de abril de 2009). «Telekom leitet DNS-Fehlermeldungen um» (en alemán) . Consultado el 9 de diciembre de 2019 .
17. "Optus" Acerca de la página de resultados de búsqueda"". Archivado desde el original el 13 de julio de 2012 . Consultado el 10 de diciembre de 2009 .
18. "¿Quiere un ejemplo del mundo real de por qué necesitamos la neutralidad de la red? Tengo uno aquí". 25 de septiembre de 2009.
19. "XSS reflejado redirección dnssearch.Ono.es NXD" . 10 de mayo de 2010. Archivado desde el original el 12 de junio de 2018 . Consultado el 24 de febrero de 2018 .
20. "TalkTalk - Buscar". error.talktalk.co.uk . Consultado el 24 de febrero de 2018 .^{[ enlace muerto permanente ]}
21. "BigPond redirige los errores tipográficos a una página de búsqueda de marca 'poco ética'". CRN Australia . Consultado el 24 de febrero de 2018 .
22. "Charter corrompe el protocolo DNS, es decir, secuestra hosts".
23. "El secuestro de dns de road runner provoca páginas web lentas". Archivado desde el original el 10 de diciembre de 2010.
24. "Rogers viola la neutralidad de la red al secuestrar búsquedas de DNS fallidas". Archivado desde el original el 27 de julio de 2008.
25. Singel, Ryan (19 de abril de 2008). "Los anuncios de la página de error de los ISP permiten a los piratas informáticos secuestrar toda la web, revela un investigador". Cableado .
26. Digitado. "XS4ALL blokkeert adressen Pirate Bay voorlopig | Blog XS4ALL". blog.xs4all.nl (en holandés) . Consultado el 5 de octubre de 2017 .
27. Tanjung, Tidar. "¿Kominfo Finalisasi DNS Nacional?" . Consultado el 11 de junio de 2018 .
28. Andrews, M. (1998). "Almacenamiento en caché negativo de consultas DNS". doi : 10.17487/RFC2308 . {{cite journal}}: Citar diario requiere |journal=( ayuda )
29. "NetBIOS y GANA". howtonetworking.com . Consultado el 24 de febrero de 2018 .
30. "Uso de la extensión Firefox + NoRedirect para evitar el secuestro de DNS". Archivado desde el original el 3 de marzo de 2011.
31. "Daños causados ​​por la sustitución de NXDOMAIN en nombres de dominio de nivel superior y otros nombres de dominio de clase de registro" (PDF) . ICANN . 24 de noviembre de 2009 . Consultado el 23 de septiembre de 2010 .
32. "Secuestro de DNS de Telekom beendet". de .
33. "DNS sobre HTTPS: DNS público". Desarrolladores de Google . 4 de septiembre de 2018 . Consultado el 12 de marzo de 2019 .
34. "NoRedirect: complementos para Firefox". addons.mozilla.org . Archivado desde el original el 25 de febrero de 2018 . Consultado el 24 de febrero de 2018 .