Académique Documents
Professionnel Documents
Culture Documents
Si un servidor DNS es afectado por un ataque de enveneamiento de cache de DNS con este tipo de
ataque devolverá a los clientes direcciones falsas de las peticiones. Por ejemplo si un usuario teclea
http://www.unam.mx, con el envenenamiento del DNS, un usuario podría ser redireccionado a un
sitio Web falso o a un sitio que ejecute código malicioso.
1. Introducción
El SANS mediante su centro de alertas, el Internet Storm Center (ISC), colocaron en días
pasados en Amarillo el nivel de alerta debido a los casos de DNS cache poisoning que se
recibieron.
El primer caso de esta técnica se dio en julio de 1997por Eugene Kashpureff. Kashpureff
hizo esto como truco político que protestaba el control del InterNIC sobre dominios DNS.
Kashpureff inyectó información engañosa en las caches del DNS alrededor del mundo
referente a la información del DNS que pertenecía al Network Solutions Inc.s (NSI) el
Internets Network Information Center (InterNIC). La información volvía a dirigir a
clientes legítimos que deseaban comunicarse con el servidor Web en el InterNIC al
servidor Web de AlterNIC de Kashpureff.
El principal propósito del DNS Cache Poisoning es engañar a un Servidor DNS para
entregar información errónea a las peticiones que se le hagan.
El impacto que tiene el Cache Poisoning es que el intruso puede provocar una Negación de
Servicio (DoS) o enmascararse como una entidad de confianza. Estudios recientes
muestran que en el pasado mes de Marzo del año en curso el Cache Poisoning fue la
principal amenaza de Internet, ya que los intrusos hacen uso de la usurpaci de identidad
para conducir a los intrusos hacia sitios donde se les instala spyware, adware y otro tipo de
códigos maliciosos a sus equipos o simplemente los redireccionan hacia otros sitios para
poder hacer fraudes por este medio, ya que la tendencia de muchos intrusos es
enriquecerse de forma rápida mediante los ataques a usuarios finales de Internet. Con esto
se estima que fueron afectadas de 500 a 1000 compañías por los ataques generados en
Marzo.
1
Asegurar el DNS contra envenamiento de cache
En realidad los sistemas Windows pueden prevenir este tipo de ataques bajo las siguientes
consideraciones para cada una de las versiones de servidor de Windows.
Para esta versión de Windows el ataque se pude evitar teniendo instalado el Service Pack 4
o posteriores y filtrando los registros de respuestas no seguras en el registro. De la
siguiente manera.
La siguiente llave solo es necesaria para los casos con sistemas Windows 2000 con SP1 y
SP2.
2
Asegurar el DNS contra envenamiento de cache
Es recomendable que se verifique que esta opción esta seleccionada, para asegurarnos de
no permitir este tipo de ataque en nuestro servidores DNS. De esta forma el DNS
examinará la respuesta de otro servidor DNS para determinar si los nombres a los que hace
referencia son intentos para corromper la caché DNS.
3
Asegurar el DNS contra envenamiento de cache
4
Asegurar el DNS contra envenamiento de cache
que realiza.
C l a v e d e l r e g i s t r o :
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DNS\Parameters
Nombre del valor : QueryIPMatching
Tipo de dato: REG_DWORD
Valor: 0 ó 1 (predeterminado es 0)
6. Referencias
7. Revisión histórica
5
Asegurar el DNS contra envenamiento de cache
UNAM CERT
Equipo de Respuesta a Incidentes UNAM
Departamento de Seguridad en Cómputo
DGSCA − UNAM
E−Mail : seguridad@seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel : 56 22 81 69
Fax : 56 22 80 43