Reenlace de DNS

La versión actual de la página aún no ha sido revisada por colaboradores experimentados y puede diferir significativamente de la versión revisada el 31 de enero de 2020; las comprobaciones requieren 10 ediciones .

El reenlace de DNS es una  forma de ataque informático a los servicios web. En este ataque, una página web maliciosa hace que el navegador del visitante ejecute un script que accede a otros sitios y servicios. Teóricamente , la política del mismo origen evita tales lanzamientos: las secuencias de comandos del lado del cliente solo pueden acceder a los datos del sitio desde el que se recibió la secuencia de comandos. Cuando se aplica la política , se realiza una comparación de nombres de dominio y un ataque de reenlace evita esta protección al abusar del Sistema de nombres de dominio de Internet.(DNS) para un cambio rápido de direcciones.

El ataque se puede utilizar para penetrar en las redes locales , cuando el atacante obliga al navegador web de la víctima a acceder a los dispositivos que utilizan direcciones IP privadas (privadas) y devolver los resultados de estos accesos al atacante. El ataque también se puede utilizar para hacer que el navegador afectado envíe spam a sitios web y para ataques DDOS y otras actividades maliciosas.

Esquema de trabajo

El atacante registra un dominio (por ejemplo, attacker.com ) y toma el control del servidor DNS que sirve al dominio. El servidor DNS está configurado para que sus respuestas contengan registros de tiempo de vida (TTL) muy cortos, lo que evita que el cliente o el resolutor almacenen en caché la respuesta. Cuando una víctima comienza a moverse a un dominio malicioso, el servidor DNS del atacante primero devuelve la dirección IP real del servidor web que proporcionará el código malicioso al cliente. Por ejemplo, la víctima puede navegar a un sitio que contiene código JavaScript malicioso o un objeto Flash activo .

El código malicioso del lado del cliente luego realiza llamadas adicionales al nombre de dominio original ( attacker.com ). La Política del Mismo Origen permite este tipo de solicitudes. Sin embargo, durante la ejecución del script en el navegador de la víctima, debido a la obsolescencia de la respuesta DNS anterior, se realiza una nueva solicitud de DNS para este dominio y la solicitud va al servidor DNS del atacante (debido a la obsolescencia de los datos en el dominio). cache). Esta vez, el atacante responde que el dominio attacker.com ahora parece estar en una nueva dirección IP, como una dirección IP interna o la dirección IP de algún otro sitio web. La solicitud de script va a otro servidor. Para devolver la información recopilada por el script, el atacante puede volver a proporcionar su dirección IP real en una de las solicitudes de DNS posteriores.

Contramedidas y defensa

Se han desarrollado varios métodos para contrarrestar los ataques de reenlace de DNS:

• Los navegadores web pueden implementar la fijación de DNS : la dirección IP utilizada para trabajar con el sitio se fija en el valor que se recibió en la primera respuesta de DNS. Este método evita todo tipo de ataques, pero puede evitar algunos usos legítimos del DNS dinámico . Al usar este método, el usuario puede usar por error la antigua dirección IP del sitio cuando cambia legítimamente.
• Las direcciones IP relacionadas con las redes locales se pueden filtrar de las respuestas de DNS (más difícil de implementar para algunas opciones con encriptación de consultas, por ejemplo, DNS sobre TLS , DNS sobre HTTPS ).
  • Algunos servidores DNS públicos brindan este servicio junto con otras funciones, como OpenDNS Corporation . [una]
  • Los administradores del sistema pueden configurar servidores DNS recursivos internos para bloquear la resolución de nombres externos a direcciones IP de LAN internas. La desventaja de dicho bloqueo puede ser la fuga de información sobre la lista de subredes locales bloqueadas a un atacante.
  • Filtrado de DNS integrado en un cortafuegos, un enrutador o un demonio de resolución de nombres local, como dnswall. [2]
• Los servidores web y los servicios web deben negarse a atender solicitudes HTTP que especifiquen un nombre de sitio no válido en el encabezado HTTP "Host" .
• La extensión del navegador Firefox NoScript brinda protección parcial (para rangos de redes privadas estándar) mediante la función ABE . Bloquea el tráfico de Internet desde direcciones externas a direcciones locales.

Véase también

• secuestro de DNS
• Suplantación de DNS (suplantación de DNS)

Notas

1. ↑ Ulevitch, David Finalmente, una solución real para los ataques de reenlace de DNS . Cisco (14 de abril de 2008). Consultado el 15 de julio de 2017. Archivado desde el original el 14 de agosto de 2017. (indefinido)
2. ↑ dnswall en GitHub . Consultado el 13 de diciembre de 2020. Archivado desde el original el 5 de diciembre de 2020. (indefinido)

Literatura

• Protecting Browsers from DNS Rebinding Attacks , Actas de la 14.ª conferencia ACM sobre seguridad informática y de las comunicaciones (CCS'07), 29 de octubre al 2 de noviembre de 2007, Virginia, EE. UU. ISBN 978-1-59593-703-2 , páginas 421-431. doi:10.1145/1315245.1315298

Enlaces

• Protección de navegadores contra ataques de reenlace de DNS Stanford Web Security Research, abril-diciembre de  2007
• Deneb Meketa, Cambios en el archivo de políticas en Flash Player 9 y Flash Player 10. Refuerzo de DNS.  - Actualización para Adobe Flash Player (1 de octubre de 2008  )
• Seguridad Sun Alert 200041 para Sun JVM (2008-09-04)  (inglés)
• DNS Rebinding con Robert RSnake Hansen (video, 2009)
• D.Baranov. Ataque "DNS Rebinding" Positive Technologies, mayo de 2011
• Denis Baranov. La segunda vida de DNS Rebinding. Un nuevo enfoque para implementar ataques de anclaje Anti DNS , Hacker Magazine, agosto de 2011 (08) 151
• Milovanov T. I. Implementación del DNS Rebinding Attack , Matemáticas discretas aplicadas. Solicitud. 2015. Nº 8.
• Servicio para operar DNS-rebinding