Es invito a que hagáis lectura de este buen white paper de Tom Olzak llamado DNS Cache Poisoning: Definition and Prevention, en el cual se aborda el problema del envenenamiento DNS como primer paso para la ejecución de diversas acciones maliciosas.
Para quien no tenga tiempo o no lea en inglés, comentar que el envenenamiento de caché DNS es una conocida técnica que se remonta a los orígenes de los servidores DNS. Hecha la ley, hecha la trampa. Se trata de someter a un servidor DNS a un engaño en el que se le hace creer que ha recibido información correcta, cuando en realidad ha recibido información envenenada, lo que hace que, ya que esta información no auténtica queda cacheada en el servidor, se disemine durante el tiempo de cacheado a los usuarios que hagan uso del servicio.
Este tipo de ataques requiere que la existencia de una falla de seguridad en el servidor, con el objetivo que esa falla haga que el servidor acepte información envenenada como si fuera legítima. Las fallas referidas son aquellas que provocan que el servidor no pueda validar la veracidad del punto origen de la información, dando por buena cualquier información recibida, que evidentemente, es servida a los usuarios que circulen por el servidor DNS.
Esto puede ser aprovechado para que el atacante tome control de las acciones del servidor DNS, siendo la más frecuente la redirección a un servidor que opere bajo su control. Cuando la adulteración se produce no en el servidor DNS, sino en el fichero hosts del usuario, hablamos de pharming.
El documento de Olzak contiene una definición mucho más exhaustiva que esta pequeña introducción, incluye sobre todo las causas del porqué de estos ataques y propone medidas para la mitigación, como por ejemplo, emplear servidores DNS seguros (DNSSEC). Como causas fundamentales de la existencia de este tipo de ataques, citar el robo de identidad, la distribución de malware y la publicación de información falsa. También es frecuente que el envenenamiento DNS sea el primer paso para ejecutar ataques man-in-the-middle.
Si administras un servidor DNS, harías bien en ojear el documento :)
tengo un computador nuevo.
quisiera saber cual es la mejor proteccion que le puedo dar a este ya que baje un programa que se llama a-squared scanner y al revisar en busca de errores me dice que tiene 27 ficheros malware.
al comienzo mi computador funcionaba bien , pero ahora se me reinicia de vez en cuando cuando gravo un cd o estoy navegando en internet.
me han dicho que puede ser problema de la memoria RAM pero no creo porque esta esta nueva.
si me pudieran ayudar, les estaria muy agradecido
daniel,
¿Qué tiene que ver eso con el hilo de envenenamiento DNS? :)
En este hilo tienes listadas muchas aplicaciones gratuítas de seguridad, Pruébalas y evalúa tú mismo qué tal te va con ellas.
Si ves que el sistema te da problemas, dale un formateo.
Buenos días Sergio:
Te cuento mi problema. Yo sí que creo que me han envenenado el DNS. A priori te digo que no entiendo mucho de informática. En casa tenemos un router de Jazztel y mi ordenador desde hace unos días no conecta a Internet. He probado a ponerle manualmente el DNS y la puerta de enlace, valores que el ordenador no guarda. Aparece el DNS 255.255.0 y la puerta de enlace se borra. He restaurado con los disquettes (ghots) y no he conseguido nada. Los otros ordenadores de casa, hay 2 más, sí que conectan aunque he observado que funcionan algo ralentizados. De confirmarse lo que sospecho ¿hay solución?……
Gracias de antemano.
Elsa
Elsa,
En el router debes tener configuradas las DNS. Estas deben ser:
Primary DNS Server: 62.14.63.245
Secondary DNS Server: 62.14.2.1
Veríficalo poniendo en el navegador http://192.168.1.1/, y poniendo tu usuario y contraseña.
Luego, en los terminales, no te compliques la vida: usa DHCP, es decir, que el router te asigne la IP y las DNS de modo automático.
Lo que narras no es un caso de envenenamiento, sino de falta de configuración. Si con lo que te digo no consigues arreglar el tema, llama al servicio de Jazztel.
Saludos,
Gracias Sergio..
No ha funcionado. Yo no conecto con el router. Mando paquetes pero no los recibo. Sí que te quiero decir que mi IP, extrañamente, es169.254.167.93 cuando entiendo que debería comenzar por 192.168…… He intentado colocarla manualmente, pero al reiniciar vuelve a ponerse la falsa. Puede ser un troyano???
Gracias de nuevo. Saludos.
Pues sí que es raro, Elsa.
Sin verlo no tengo soluciones a la vista, pero podrías, y en este orden:
a) Hacer un escaneo FULL con Kaspersky online, que pese a no detectar el 100% de troyanos y elementos extraños, te va a dar cierta «tranquilidad» y un buen análisis. http://www.kaspersky.com/virusscanner
b) Si te vuelve a dar IP 169.X.X.X tu DHCP después de la limpieza, no es descartable que estés infectada, con lo que te sugiero formatees para asegurarte que estás limpia
Si quieres cuéntame cómo te ha ido en el correo sergioQUITAESTO@sahw.QUITAESTOTAMBIEN.com ;)
Sergio:
No puedo hacer un escaneo on line porque ya te digo que no conecto a Internet.desde mi pc.
Formatearé, aunque esto me supone perder el sistema operativo que iba incluido en la compra del pc y no tengo discos…¿es así, no..?..Ya te he dicho que no entiendo tan apenas y a lo mejor te estoy diciendo una burrada..
Mil gracias Sergio por tu interés. Eres un sol. Si ves otra solución te pido por favor que me la comentes..
Espero tu consejo.
Saludos.
Elsa,
Si has comprado un equipo y también una licencia de Windows, no deberías tener problema. Si no tienes los discos, pídeselos a quien te vendió el equipo. Si has comprado sólo el equipo y no la licencia, tendrás que buscarte la vida.
Yo sin ver el equipo poco más puedo decirte, pero ante la duda de la existencia de un virus o troyano, y sin poder escanear, lo más sensato es formatear.
Siento no darte soluciones más específicas.
Atentamente,
Hola en mi ordenador falla el «DNS» Y PUERTOS CLAVE…tienen algo que ver??se me conecta a internet pero no funciona ni al metert en el msn ni en internet explorer…m trae d cabeza este problema…seguro k sera una tonteria pero no soy buen entendido de esto y si m lo solucionara alguien lo agradeceria mucho
Saludos
Gracias
Tengo el mismo problema que Adrian y Elsa, la config. es aparentemente adecuada, pero increiblemente no funciona la conex.lógica.
1-Posiblemente el router tenga activado el filtrado de MAC. (ver config. router)
2-Posible Virus o Espia. (Pasar Ad-Aware SE Personal y kaspersky)
3-Conflicto o incompatibilidad con los controladores de red(Reistalar adecuad)
4-…
Roland,
Si después de hacer los pasos 1, 2 y 3 sigues sin conexión, puedes asumir que la prueba final antes de descartar problemas de hardware es la reinstalación del sistema operativo.
Si tu equipo «en limpio» sigue sin conectar, contacta con quién te suministró el router.
Saludos,
TENGO UN ORDENADOR CASI NUEVO Y AYER ESTUVE CONECTADO A INTERNET, PERO POR LA TARDE VOLVI A CONECTAR EL MODEM, SE CONECTA A INTERNET PERO NO CARGAN LAS PAGINAS NI SE CONECTA EL MSN. AL MIRAR LOS ERRORES DEL MSN ME DAN MAL LOS 3 ULTIMOS, INCLUIDO EL DNS
Bueno,tengo el mismo problema,todo empezo de forma similar, de hecho, mi conexión aparece como «conectado»,pero no carga el explorador las páginas, tengo un «Antipharming», por eso no creo ke sea envenenamiento del servidor DNS, pero si tiene ke ver con él, despues de reiniciar el pc y volverme a conectar todo marcha bien , hasta un rato, ya sea ke inicie msn, o ares, u otro programa ke tenga ke ver con conexión a internet, para ke pase otra vez lo mismo, de hecho, a veces sólo con tratar de abrir otra página sucede (dejo claro ke despues de un rato de estar conectado).
Ahora bien, despues de buscar en internet como desesperado, encontre lo siguiente:
Un articulo decia ke habia ke «purgar el cache DNS» cuando esto sucediera,y para esto decía lo siguiente:
1.-ve a inicio, ejecutar.
2.-escribe «svchost.exe»
3.- da clic en aceptar
otro articulo deciía:
Solución
Para resolver este comportamiento, siga estos pasos:
1. Haga clic en Inicio, haga clic en Ejecutar, escriba services.msc y a continuación, haga clic en Aceptar.
2. En la lista Servicios, haga doble clic en cliente DNS.
3. Haga clic en la ficha General y a continuación, haga clic en Automático en la lista Tipo de inicio.
4. Haga clic en Aplicar y a continuación, haga clic en Aceptar.
5. En el menú Archivo, haga clic en Salir para cerrar el complemento Servicios en Microsoft Management Console ( MMC ).
6. Reinicie el equipo.
7. Haga clic con el botón secundario en Conexión de área local y a continuación, haga clic en Reparar. Para más información sobre la opción «Reparar» que está disponible cuando hace clic con el botón secundario en «Reparar» en un LAN o una conexión a Internet de alta velocidad, haga clic en el número de artículo siguiente para ver el artículo en el Microsoft Knowledge Base:
289256 Una descripción de la opción Reparar en una red de área local o una conexión Internet de Rápido
YO NO LO HE INTENTADO, PUESTO KE MIENTRAS ESCRIBO ESTO… VAYA ESTÁ TRABAJANDO LA CONEXIÓN COMO DEBE DE SER, (osea, como dije en un principio, reinicie mi ordenador para conectarme de nuevo)
sólo hize el primero ke escribi.
Escribo esto, porke si lo dejo pa’ despues, es probable ke ya no me pueda conectar.
EN CASO DE KE ME SUCEDA DE NUEVO, PERO FUNCIONE LO KE ESCRIBI, LO COMUNICARÉ EN ESTE FORO.
Ahora, si el autor de esta página kiere darle una revisada a lo ke dije, me gustaria conocer su opinión.
Gracias
NOTA: ACLARO No se mucho de informática
Hola. No se por donde empezar, y ni si quiera si este es mi caso, solo me queda probar y ver si me puedes ayudar.
Tengo contratado un hosting+dominio desde hace dos años, y desde hace un año aproximadamente nunca puedo entrar a la pagina, hasta el punto de tener que crearme un blog en blogger pagando un hosting…
Creo que esto solo ocurre cuando me conecto desde casa, aqui tengo un router para dos ordenadores en red
Los de soporte online de mi hosting me dan soluciones muy escuetas y cuando me las dan
Ejecuto el ipconfig/flushdns, renew,registerdns, displaydns, release… de todo y nada parece funcionar. He creado claves en el registro para que el dns dure apenas unos segundos en vez de un dia y tampoco
. Todo esto lo hice en un ordenador ¿he de realizar todas estas operaciones en los dos ordenadores simultaneamente? ¿tengo que cambiar algo en el router?
Si me dieran mejor soporte esto no pasaria, pero ahora me da pereza cambiar toda mi web a un nuevo hosting ya que es una web enorme
Quenya,
Con la explicación que me das, y sin ver todo sobre el terreno, me es imposible darte una solución.
No obstante, el tema de conectar a Internet es sota, caballo y rey
– Configura el router para que sea él el que de IP a las máquinas (DHCP) y DNS a las máquinas. Esta información viene en cualquier folleto de autoinstalación que tu proveedor de cable o ADSL te haya proporcionado.
– Configura tus PC´s para conectar mediante DHCP, siendo su puerta de enlace el router (192.168.1.1, por ejemplo)
– Navega
No conozco troyanos que puedan modificar la configuración de los routers, pero sí hay malware que puede tocar tu configuración de PC.
Un saludo,
OK, gracias por la respuesta, creo que el router ya lo tengo configurado de esa manera, no obstante lo revisare y vere que puedo hacer, o sino seguire investigando gracias
hola! mi problema es que no se me conecta el msn. cuando pongo el solucionador de problemas me da todo ok menos el dns. como puedo sulocionar el problema? llevo ya 2 dias sin poder conectarme al messenger. puedes ayudarme? gracias
salva,
¿Qué tiene que ver lo que te pasa con lo que discutimos aquí?
Messenger tiene un servicio de soporte. Úsalo.
Hola:
Tengo un problema con la conexion a internet me aparece que el sistema DNS no puede resolver nombres y no eh podido conectarme a internet.
Tengo la direccion Ip pero el problema es el sistema Dns y no se como repararlo.
Ojalá y me puedan ayudar.
De ante mano Gracias.
Tengo un modem 2WIRE modelo 1701 HG
hola, por lo visto tenemos el mismo problema, salvo que m comentario va a llegar un año despues del último.
Paso a explicarte mi problema, hace unos dias, conseguí el karspersky, lo instalé pero me pareció joya, ahora bien no se si es un fake o no, porque leyendo en algunos portales el kaspersky 8.0.xxx, era una versión Beta. y desde que lo instalé tengo el problema de que se cae la conexion, y tengo que andar «REPARANDO» la conexión a internet todo el timepo por que el antivirus controla los DNS.
hola oye tengo instalado eset smart security 5 y me aparecio un mensajde de que tenia envenenamiento de dns que puedo hacer es muy malo?
Respecto al envenenamiento en cache yo sí he recibido ese mensaje en algun momento y quisiera solucionarlo. Tenia el ESET pero acabo de instalar AVAST gratis. No se mucho de computadoras pero puedo intentar si me guian
Desde hace unos días mi cortafuegos (eset endpoint security) me da notificaciones de ataques por envenenamiento de cache DNS, siempre de una misma ip remota… me gustaría saber a que me estoy enfrentando, y si debo tomar alguna medida, muchas gracias!!!
mi ese smart securyti 7 me dice ataque de envenenamiento de cache DNS
origen:200.21.200.80 y me pone el internet muy lento alguien ha resolvido esto contesten ya q sus mensajes son del 2013 y el mio 2016 ya debieron averlo resuelto diganme la solucion