Inicio / Blog / Uso y abuso de DNS

Uso y abuso de DNS

Publicado el 02/10/2014, por Antonio López (INCIBE)
DNS

DNS es uno de los protocolos con mayor presencia en las comunicaciones de Internet. Gracias a DNS usamos nombres en lugar de direcciones IP, lo que proporciona una vía mucho más sencilla para identificar y recordar otras máquinas o dispositivos de la red. Por otra parte, su omnipresencia y características lo hacen especialmente atractivo para emplearlo con otros fines no legítimos, como ataques de denegación de servicio por amplificación DNS , suplantación de sitios, phishing, etc.

En este artículo se resumen los principales usos y "malos usos" que se dan a este importante protocolo.

Fast flux o el don de la ubicuidad.

La técnica conocida como fast-flux es un mecanismo de evasión ampliamente utilizado por malware y botnets. Los ordenadores integrantes de una botnet (bots o zombies) suelen conectarse a servidores denominados centros de comando y control (C&C) o con otros bots con objeto de recibir órdenes y/o configuraciones, así como enviar información. Los centros de comando y control tratan de ocultar su ubicación e IP para evitar ser localizados y neutralizados y para ello cambian de dirección IP constantemente. La técnica de fast flux consiste en registrar un nombre de dominio y cambiar  frecuentemente la IP asociada en los servidores de nombres que mantienen el registro. Además, a estos registros se les asigna un tiempo de "caducidad" o time-to-live o TTL muy bajo (o nulo) para evitar sea almacenado en caché de los clientes DNS. De este modo se consigue que dos solicitudes DNS consecutivas devuelvan IP distintas dificultando la localización del servidor. El fast flux de direcciones  IP se combina frecuentemente con el rotado de los servidores de nombres propietarios del dominio (nameservers, NS). Con este doble fast flux se incrementa la dificultad de localizar los centros de comando y control. Por otra parte, fast flux también puede ser empleado legítimamente con el objetivo de repartir carga o multiplexar los recursos asociados a un dominio para reforzar su disponibilidad

Fast Flux de IP

 - Fast Flux de IP -

Passive DNS

Passive DNS aparece en escena como mecanismo para detectar comportamientos anómalos entre ellos, el secuestro de dominios o el fast flux. Consiste en monitorizar y almacenar consultas DNS en una base de datos y comparar, en las sucesivas peticiones que se realizan, si hay diferencias inesperadas con lo almacenado anteriormente en la base de datos. Cambios como el propietario del dominio o las IPs asociadas en un tiempo corto, podrían ser indicativo de algún tipo de anomalía

Sinkholing

El sinkholing de dominios es una estrategia defensiva para evitar que los dominios con contenido malicioso puedan ser visitados. Para ello es necesario una vez identificado el dominio, localizar el registrador del mismo y solicitar su cesión, de modo que se pueda asignar a ese dominio una IP controlada o no válida. De esta forma, las víctimas nunca llegarán a acceder al sitio malicioso o centro de control en caso de una botnet. Además de ofrecer protección y evitar que máquinas infectadas se comuniquen con los centros de control, el sinkholing puede utilizarse para estudiar el comportamiento de una botnet dirigiendo las comunicaciones hacia un servidor que simule ser el centro de control y que se encargue de analizar el tráfico recibido.

Domain Generation Algorithm (DGA)

Una vez más, hecha la ley, hecha la trampa. El malware adopta contramedidas contra sink holing mediante la generación de una gran cantidad de nombres de dominio a través de un algoritmo. Por ejemplo, en el caso de conficker, una de las amenazas más comunes, se generan hasta 50000 nombres de dominio al día. El atacante registrará periódicamente una serie de dominios, de entre los generados por el algoritmo y así estar accesible por sus víctimas. Lógicamente la frecuencia y número de conexiones entre víctima y centro de control se reduce, pero en contrapartida, complica muchísimo el sink holing de sus dominios puesto que para ello, deberían registrarse todos los dominios generados por el algoritmo, o bien solicitar al registrador un control de los mismos.

Denegación de Servicio. DDoS

Es uno de los usos ilegítimos de DNS más extendido y utilizado para causar perjuicio con ataques de denegación de servicio. Como se explica en el artículo "DNS, open resolvers y denegación de servicio por amplificación DNS", las características del protocolo DNS y su base en capa de transporte UDP permiten el falseo o spoofing de direcciones IP, es decir, enviar al servidor paquetes con una IP falseada y que éste conteste a esa IP al no hacer ningún tipo de comprobación sobre el origen. A este resultado de "reflejar" las respuestas hacia la IP víctima, se une al factor de amplificación ya que, ciertas consultas DNS consiguen generar una respuesta del servidor de tamaño mucho mayor que el paquete emitido. Uniendo ambos factores, amplificación y reflexión, un atacante que use un buen número de los servidores DNS públicos puede llevar a cabo un ataque de denegación de servicio contra una IP víctima dirigiendo contra ella un gran volumen de tráfico. Este y otros aspectos de seguridad en DNS se describen detalladamente en la "Guía de Seguridad en Servicios DNS" publicada por INTECO.

Imagen2

- Pico de tráfico en un ataque DDoS -

Typosquatting, cibersquatting y otros

Sin llegar al nivel de sofisticación de las anteriores pero igualmente efectivas, las estrategias basadas en sacar provecho de errores humanos aparecen frecuentemente. Entre estas, el typosquatting, consiste en registrar dominios con nombre muy parecido al nombre al que se quiere suplantar. Este nombre se escoge cuidadosamente de tal forma que coincida con el resultado de escribir el nombre original con un error tipográfico, por ejemplo www.goole.com en lugar de www.google.com . Con ello se dirige a alguien que cometa el error hacia un sitio que simule ser el original y tratar de obtener credenciales, robar datos, instalar software no deseado o infectar el visitante.

Dominio typosquatting

- Dominio typosquatting -

El cibersquatting es otra forma oportunista para beneficiarse del registro de nombres principalmente con motivos de extorsión . Se basa en registrar dominios que hagan referencia a personas, compañías, marcas comerciales, etc. con la intención de que la parte perjudicada acceda a recuperar el dominio a cambio de una compensación económica. Muy frecuente hace unos años, a día de hoy es menos habitual gracias a normativas y procedimientos legales que dificultan la posibilidad de registrar un dominio en conflicto con derechos intelectuales y/o de propiedad. La ICANN (Internet Corporation for Assigned Names and Numbers ) coordina la gestión de dominios e IPs y a través de la sección "Política de Resolución de Disputas de Nombres de Dominio", establece una vía para la protección de los derechos del propietario de la marca.