¿Cómo solucionar el secuestro de DNS? ¿Qué es el secuestro de DNS?
El secuestro de DNS, también conocido como secuestro de nombre de dominio, se refiere a obtener el control de resolución de un nombre de dominio a través de ciertos medios y modificar los resultados de la resolución del nombre de dominio, lo que hace que el acceso al nombre de dominio se transfiera desde la dirección IP original a la IP especificada, el resultado es que no se puede acceder a la URL específica o la URL a la que se accede es una URL falsa. El secuestro de DNS es una tecnología de piratería que utiliza el fraude de nombres de dominio para distribuir virus, defraudar a los usuarios con información relevante o invadir las computadoras de otras personas.
El secuestro de DNS generalmente se produce en las siguientes situaciones:
1. La computadora del usuario está infectada con un virus que altera el archivo HOSTS y agrega registros de resolución DNS falsos. En los sistemas Windows, el archivo HOSTS tiene una prioridad más alta que el servidor DNS. Cuando el sistema accede a un nombre de dominio, primero detectará el archivo HOSTS y luego consultará al servidor DNS.
2. El sitio web que el usuario intentó visitar fue atacado maliciosamente. Es posible que esté visitando un sitio web engañoso o que se le dirija a otros sitios web.
3. El usuario ingresó el nombre de dominio incorrecto en el navegador, lo que provocó que el DNS consultara registros inexistentes. Cuando se encontraba con esta situación en el pasado, el navegador generalmente devolvía un mensaje de error. En la actualidad, en la mayoría de los casos, los usuarios verán el mensaje del sistema de corrección de errores de nombres de dominio establecido por el ISP.
1. Utilice un servidor DNS seguro y confiable para administrar sus propios nombres de dominio y preste atención a reparar rápidamente las vulnerabilidades relacionadas con DNS y actualizar los parches más recientes. seguridad de su información confidencial importante. Evite el robo de derechos de administración de nombres de dominio. 3. Mejore el nivel de seguridad del servidor, repare rápidamente las vulnerabilidades del sistema y del software de terceros y evite ser atacado.
4. monitorear y mejorar rápidamente la seguridad del código de la página web para evitar que el sitio web sea atacado y que se produzcan incidentes de montaje de caballos;
5. ataques y evitar convertirse en miembros de botnets
Algunos métodos de secuestro de DNS
Método 1: usar el servidor DNS para llevar a cabo un ataque DDOS
El proceso normal de consulta recursiva de El servidor DNS puede ser explotado para un ataque DDOS. Supongamos que el atacante conoce la dirección IP de la máquina comprometida y luego usa esa dirección como dirección de origen para enviar comandos de análisis. De esta manera, cuando el servidor DNS se utiliza para realizar consultas recursivas, el servidor DNS responde al usuario original, y este usuario es el atacante. Luego, si el atacante controla suficientes pollos de engorde y realiza las operaciones anteriores repetidamente, el atacante estará sujeto a un ataque DDOS mediante la información de respuesta del servidor DNS.
Si el atacante tiene una parvada de pollos de engorde lo suficientemente grande, la red del atacante puede verse afectada hasta el punto de interrumpirse. Un desafío importante al utilizar ataques a servidores DNS es que el atacante oculta su paradero porque no se comunica directamente con el host atacado, lo que dificulta a la víctima rastrear el ataque original.
Método 2: Infección de la caché de DNS
El atacante utiliza solicitudes de DNS para colocar datos en la caché de un servidor DNS vulnerable. Esta información almacenada en caché se devolverá al usuario cuando el cliente realice el acceso DNS, guiando así el acceso del usuario al nombre de dominio normal a la página configurada por el intruso, como montar a caballo, phishing, etc., u obtener la contraseña del usuario. a través de correos electrónicos falsificados y otros servicios de servidor, causando que los clientes sufran más daños.
Método 3: Secuestro de información DNS
El sistema TCP/IP utiliza números de serie y otros métodos para evitar la inserción de datos falsificados, pero si un intruso escucha la conversación entre el cliente y el servidor DNS, puede adivinar el ID de la consulta DNS que el servidor respondió al cliente. Cada mensaje DNS incluye un número de identificación de 16 bits asociado y el servidor DNS obtiene la ubicación del origen de la solicitud en función de este número de identificación. El atacante entrega respuestas falsas al usuario antes que el servidor DNS, engañando así al cliente para que visite un sitio web malicioso. Supongamos que se interceptan los datos del paquete DNS de una solicitud de resolución de nombre de dominio enviada a un determinado servidor de nombres de dominio y luego se devuelve una dirección IP falsa al solicitante como mensaje de respuesta de acuerdo con la intención del interceptor. El solicitante original utilizará esta dirección IP falsa como el nombre de dominio que desea solicitar, de modo que será engañado para ir a otra parte y no podrá conectarse al nombre de dominio al que desea acceder.
Método 4: redirección de DNS
El atacante redirige la consulta del nombre DNS a un servidor DNS malicioso y la resolución del nombre de dominio secuestrado está completamente bajo el control del atacante.
Método 5: suplantación de ARP
El ataque ARP consiste en lograr la suplantación de ARP falsificando direcciones IP y direcciones MAC. Puede generar una gran cantidad de tráfico ARP en la red y bloquear la red. El atacante solo necesita El envío continuo de paquetes de respuesta ARP falsificados puede cambiar las entradas IP-MAC en la caché ARP del host de destino, lo que provoca interrupciones en la red o ataques de intermediario. Los ataques ARP existen principalmente en redes LAN. Si una computadora en la LAN está infectada con el virus ARP, el sistema infectado con el virus ARP intentará interceptar la información de comunicación de otras computadoras en la red mediante la suplantación de ARP, provocando así que otras computadoras entren. la red que se va a infectar. Fallo en la comunicación del ordenador.
La suplantación de ARP suele tener lugar en la red local del usuario, lo que hace que los usuarios accedan a los nombres de dominio en la dirección incorrecta. Si la sala de computadoras IDC también es invadida por el virus ARP, el atacante puede usar paquetes ARP para suprimir los hosts normales o suprimir el servidor DNS para redirigir el acceso en la dirección incorrecta.
Método 6: Secuestro local
Después de que el sistema informático local sea infectado por troyanos o software fraudulento, también pueden ocurrir anomalías en el acceso a algunos nombres de dominio. Como acceder a sitios troyanos o de phishing, no poder acceder, etc. Los métodos de secuestro de DNS nativo incluyen manipulación de archivos de hosts, secuestro de DNS nativo, inyección de cadena SPI, complementos BHO, etc.
Bien, eso es todo sobre el método de secuestro de DNS. Por lo tanto, es importante hacer sus propios cálculos para garantizar su propia seguridad.