DNS Poisoning

El envenamiento de la caché DNS o también conocido com Pharming es una situación creada de manera maliciosa o no deseada que provee datos de un Servidor de Nombres de Dominio. Esto puede pasar debido a diseño inapropiado de software, falta de configuración de nombres de servidores y escenarios maliciosamente diseñados que explotan la arquitectura tradicionalmente abierta de un sistema DNS. Una vez que un servidor DNS ha recibido aquellos datos no autentificados y los almacena temporalmente para futuros incrementos de desempeño, es considerado envenenado, extendiendo el efecto de la situación a los clientes del servidor.

Técnica de envenamiento de caché

Esta técnica puede ser usada para reemplazar arbitrariamente contenido de una serie de víctimas con contenido elegido por un atacante. Por ejemplo, un atacante envenena las entradas DNS de direcciones IP para un sitio web objetivo, reemplazándolas con la dirección IP de un servidor que él controla. Luego, el atacante crea entradas falsas para archivos en el servidor que él controla con nombres que coinciden con los archivos del servidor objetivo. Estos archivos pueden contener contenido malicioso, como un virus o un gusano. Un usuario cuyo equipo ha referenciado al servidor DNS envenenado puede ser engañado al creer que el contenido proviene del servidor objetivo y sin saberlo descarga contenido malicioso.

Es usada para la mayoría de los exploits de navegador web,redirigiendo a la página con el exploit para insertar un Payload en memoria y poder penetrar en un equipo.

Prevención

• Una de las prevenciones principales es desactivar la caché DNS.
• Una versión segura de DNS, DNSSEC, utiliza firmas criptográficas electrónicas validadas con un certificado digital confiable para determinar la autenticidad de los datos. DNSSEC puede contener ataques de envenenamiento de caché, pero hasta 2008 aún no está difundido ampliamente.

Espero que con esto podamos evitar este tipo de ataques.