Skip to content

Envenenamiento DNS. Definición y métodos de prevención

Publicado por Sergio Hernando el 28 marzo 2006

Es invito a que hagáis lectura de este buen white paper de Tom Olzak llamado DNS Cache Poisoning: Definition and Prevention, en el cual se aborda el problema del envenenamiento DNS como primer paso para la ejecución de diversas acciones maliciosas.

Para quien no tenga tiempo o no lea en inglés, comentar que el envenenamiento de caché DNS es una conocida técnica que se remonta a los orígenes de los servidores DNS. Hecha la ley, hecha la trampa. Se trata de someter a un servidor DNS a un engaño en el que se le hace creer que ha recibido información correcta, cuando en realidad ha recibido información envenenada, lo que hace que, ya que esta información no auténtica queda cacheada en el servidor, se disemine durante el tiempo de cacheado a los usuarios que hagan uso del servicio.

Este tipo de ataques requiere que la existencia de una falla de seguridad en el servidor, con el objetivo que esa falla haga que el servidor acepte información envenenada como si fuera legítima. Las fallas referidas son aquellas que provocan que el servidor no pueda validar la veracidad del punto origen de la información, dando por buena cualquier información recibida, que evidentemente, es servida a los usuarios que circulen por el servidor DNS.

Esto puede ser aprovechado para que el atacante tome control de las acciones del servidor DNS, siendo la más frecuente la redirección a un servidor que opere bajo su control. Cuando la adulteración se produce no en el servidor DNS, sino en el fichero hosts del usuario, hablamos de pharming.

El documento de Olzak contiene una definición mucho más exhaustiva que esta pequeña introducción, incluye sobre todo las causas del porqué de estos ataques y propone medidas para la mitigación, como por ejemplo, emplear servidores DNS seguros (DNSSEC). Como causas fundamentales de la existencia de este tipo de ataques, citar el robo de identidad, la distribución de malware y la publicación de información falsa. También es frecuente que el envenenamiento DNS sea el primer paso para ejecutar ataques man-in-the-middle.

Si administras un servidor DNS, harías bien en ojear el documento :)

Be Sociable, Share!

Categoría/s → Seguridad

24 comentarios
  1. 13 abril 2006
    daniel permalink

    tengo un computador nuevo.
    quisiera saber cual es la mejor proteccion que le puedo dar a este ya que baje un programa que se llama a-squared scanner y al revisar en busca de errores me dice que tiene 27 ficheros malware.
    al comienzo mi computador funcionaba bien , pero ahora se me reinicia de vez en cuando cuando gravo un cd o estoy navegando en internet.

    me han dicho que puede ser problema de la memoria RAM pero no creo porque esta esta nueva.

    si me pudieran ayudar, les estaria muy agradecido

  2. 14 abril 2006

    daniel,

    ¿Qué tiene que ver eso con el hilo de envenenamiento DNS? :)

    En este hilo tienes listadas muchas aplicaciones gratuítas de seguridad, Pruébalas y evalúa tú mismo qué tal te va con ellas.

    Si ves que el sistema te da problemas, dale un formateo.

  3. 31 octubre 2006
    Elsa permalink

    Buenos días Sergio:
    Te cuento mi problema. Yo sí que creo que me han envenenado el DNS. A priori te digo que no entiendo mucho de informática. En casa tenemos un router de Jazztel y mi ordenador desde hace unos días no conecta a Internet. He probado a ponerle manualmente el DNS y la puerta de enlace, valores que el ordenador no guarda. Aparece el DNS 255.255.0 y la puerta de enlace se borra. He restaurado con los disquettes (ghots) y no he conseguido nada. Los otros ordenadores de casa, hay 2 más, sí que conectan aunque he observado que funcionan algo ralentizados. De confirmarse lo que sospecho ¿hay solución?……
    Gracias de antemano.
    Elsa

  4. 31 octubre 2006

    Elsa,

    En el router debes tener configuradas las DNS. Estas deben ser:

    Primary DNS Server: 62.14.63.245
    Secondary DNS Server: 62.14.2.1

    Veríficalo poniendo en el navegador http://192.168.1.1/, y poniendo tu usuario y contraseña.

    Luego, en los terminales, no te compliques la vida: usa DHCP, es decir, que el router te asigne la IP y las DNS de modo automático.

    Lo que narras no es un caso de envenenamiento, sino de falta de configuración. Si con lo que te digo no consigues arreglar el tema, llama al servicio de Jazztel.

    Saludos,

  5. 1 noviembre 2006
    Elsa permalink

    Gracias Sergio..
    No ha funcionado. Yo no conecto con el router. Mando paquetes pero no los recibo. Sí que te quiero decir que mi IP, extrañamente, es169.254.167.93 cuando entiendo que debería comenzar por 192.168…… He intentado colocarla manualmente, pero al reiniciar vuelve a ponerse la falsa. Puede ser un troyano???
    Gracias de nuevo. Saludos.

  6. 1 noviembre 2006

    Pues sí que es raro, Elsa.

    Sin verlo no tengo soluciones a la vista, pero podrías, y en este orden:

    a) Hacer un escaneo FULL con Kaspersky online, que pese a no detectar el 100% de troyanos y elementos extraños, te va a dar cierta “tranquilidad” y un buen análisis. http://www.kaspersky.com/virusscanner

    b) Si te vuelve a dar IP 169.X.X.X tu DHCP después de la limpieza, no es descartable que estés infectada, con lo que te sugiero formatees para asegurarte que estás limpia

    Si quieres cuéntame cómo te ha ido en el correo sergioQUITAESTO@sahw.QUITAESTOTAMBIEN.com ;)

  7. 1 noviembre 2006
    Elsa permalink

    Sergio:
    No puedo hacer un escaneo on line porque ya te digo que no conecto a Internet.desde mi pc.
    Formatearé, aunque esto me supone perder el sistema operativo que iba incluido en la compra del pc y no tengo discos…¿es así, no..?..Ya te he dicho que no entiendo tan apenas y a lo mejor te estoy diciendo una burrada..
    Mil gracias Sergio por tu interés. Eres un sol. Si ves otra solución te pido por favor que me la comentes..
    Espero tu consejo.
    Saludos.

  8. 1 noviembre 2006

    Elsa,

    Si has comprado un equipo y también una licencia de Windows, no deberías tener problema. Si no tienes los discos, pídeselos a quien te vendió el equipo. Si has comprado sólo el equipo y no la licencia, tendrás que buscarte la vida.

    Yo sin ver el equipo poco más puedo decirte, pero ante la duda de la existencia de un virus o troyano, y sin poder escanear, lo más sensato es formatear.

    Siento no darte soluciones más específicas.

    Atentamente,

  9. 14 noviembre 2006
    Adrian permalink

    Hola en mi ordenador falla el “DNS” Y PUERTOS CLAVE…tienen algo que ver??se me conecta a internet pero no funciona ni al metert en el msn ni en internet explorer…m trae d cabeza este problema…seguro k sera una tonteria pero no soy buen entendido de esto y si m lo solucionara alguien lo agradeceria mucho

    Saludos
    Gracias

  10. 21 noviembre 2006

    Tengo el mismo problema que Adrian y Elsa, la config. es aparentemente adecuada, pero increiblemente no funciona la conex.lógica.
    1-Posiblemente el router tenga activado el filtrado de MAC. (ver config. router)
    2-Posible Virus o Espia. (Pasar Ad-Aware SE Personal y kaspersky)
    3-Conflicto o incompatibilidad con los controladores de red(Reistalar adecuad)
    4-…

  11. 22 noviembre 2006

    Roland,

    Si después de hacer los pasos 1, 2 y 3 sigues sin conexión, puedes asumir que la prueba final antes de descartar problemas de hardware es la reinstalación del sistema operativo.

    Si tu equipo “en limpio” sigue sin conectar, contacta con quién te suministró el router.

    Saludos,

  12. 10 diciembre 2006
    PABLO permalink

    TENGO UN ORDENADOR CASI NUEVO Y AYER ESTUVE CONECTADO A INTERNET, PERO POR LA TARDE VOLVI A CONECTAR EL MODEM, SE CONECTA A INTERNET PERO NO CARGAN LAS PAGINAS NI SE CONECTA EL MSN. AL MIRAR LOS ERRORES DEL MSN ME DAN MAL LOS 3 ULTIMOS, INCLUIDO EL DNS

  13. 11 enero 2007
    bukyman permalink

    Bueno,tengo el mismo problema,todo empezo de forma similar, de hecho, mi conexión aparece como “conectado”,pero no carga el explorador las páginas, tengo un “Antipharming”, por eso no creo ke sea envenenamiento del servidor DNS, pero si tiene ke ver con él, despues de reiniciar el pc y volverme a conectar todo marcha bien , hasta un rato, ya sea ke inicie msn, o ares, u otro programa ke tenga ke ver con conexión a internet, para ke pase otra vez lo mismo, de hecho, a veces sólo con tratar de abrir otra página sucede (dejo claro ke despues de un rato de estar conectado).

    Ahora bien, despues de buscar en internet como desesperado, encontre lo siguiente:

    Un articulo decia ke habia ke “purgar el cache DNS” cuando esto sucediera,y para esto decía lo siguiente:

    1.-ve a inicio, ejecutar.
    2.-escribe “svchost.exe”
    3.- da clic en aceptar

    otro articulo deciía:

    Solución
    Para resolver este comportamiento, siga estos pasos:
    1. Haga clic en Inicio, haga clic en Ejecutar, escriba services.msc y a continuación, haga clic en Aceptar.
    2. En la lista Servicios, haga doble clic en cliente DNS.
    3. Haga clic en la ficha General y a continuación, haga clic en Automático en la lista Tipo de inicio.
    4. Haga clic en Aplicar y a continuación, haga clic en Aceptar.
    5. En el menú Archivo, haga clic en Salir para cerrar el complemento Servicios en Microsoft Management Console ( MMC ).
    6. Reinicie el equipo.
    7. Haga clic con el botón secundario en Conexión de área local y a continuación, haga clic en Reparar. Para más información sobre la opción “Reparar” que está disponible cuando hace clic con el botón secundario en “Reparar” en un LAN o una conexión a Internet de alta velocidad, haga clic en el número de artículo siguiente para ver el artículo en el Microsoft Knowledge Base:
    289256 Una descripción de la opción Reparar en una red de área local o una conexión Internet de Rápido

    YO NO LO HE INTENTADO, PUESTO KE MIENTRAS ESCRIBO ESTO… VAYA ESTÁ TRABAJANDO LA CONEXIÓN COMO DEBE DE SER, (osea, como dije en un principio, reinicie mi ordenador para conectarme de nuevo)

    sólo hize el primero ke escribi.

    Escribo esto, porke si lo dejo pa’ despues, es probable ke ya no me pueda conectar.
    EN CASO DE KE ME SUCEDA DE NUEVO, PERO FUNCIONE LO KE ESCRIBI, LO COMUNICARÉ EN ESTE FORO.

    Ahora, si el autor de esta página kiere darle una revisada a lo ke dije, me gustaria conocer su opinión.
    Gracias

    NOTA: ACLARO No se mucho de informática

  14. 15 noviembre 2007

    Hola. No se por donde empezar, y ni si quiera si este es mi caso, solo me queda probar y ver si me puedes ayudar.
    Tengo contratado un hosting+dominio desde hace dos años, y desde hace un año aproximadamente nunca puedo entrar a la pagina, hasta el punto de tener que crearme un blog en blogger pagando un hosting…
    Creo que esto solo ocurre cuando me conecto desde casa, aqui tengo un router para dos ordenadores en red
    Los de soporte online de mi hosting me dan soluciones muy escuetas y cuando me las dan
    Ejecuto el ipconfig/flushdns, renew,registerdns, displaydns, release… de todo y nada parece funcionar. He creado claves en el registro para que el dns dure apenas unos segundos en vez de un dia y tampoco
    . Todo esto lo hice en un ordenador ¿he de realizar todas estas operaciones en los dos ordenadores simultaneamente? ¿tengo que cambiar algo en el router?
    Si me dieran mejor soporte esto no pasaria, pero ahora me da pereza cambiar toda mi web a un nuevo hosting ya que es una web enorme

  15. 17 noviembre 2007

    Quenya,

    Con la explicación que me das, y sin ver todo sobre el terreno, me es imposible darte una solución.

    No obstante, el tema de conectar a Internet es sota, caballo y rey

    – Configura el router para que sea él el que de IP a las máquinas (DHCP) y DNS a las máquinas. Esta información viene en cualquier folleto de autoinstalación que tu proveedor de cable o ADSL te haya proporcionado.

    – Configura tus PC´s para conectar mediante DHCP, siendo su puerta de enlace el router (192.168.1.1, por ejemplo)

    – Navega

    No conozco troyanos que puedan modificar la configuración de los routers, pero sí hay malware que puede tocar tu configuración de PC.

    Un saludo,

  16. 17 noviembre 2007

    OK, gracias por la respuesta, creo que el router ya lo tengo configurado de esa manera, no obstante lo revisare y vere que puedo hacer, o sino seguire investigando gracias

  17. 2 diciembre 2007
    salva permalink

    hola! mi problema es que no se me conecta el msn. cuando pongo el solucionador de problemas me da todo ok menos el dns. como puedo sulocionar el problema? llevo ya 2 dias sin poder conectarme al messenger. puedes ayudarme? gracias

  18. 2 diciembre 2007

    salva,

    ¿Qué tiene que ver lo que te pasa con lo que discutimos aquí?

    Messenger tiene un servicio de soporte. Úsalo.

  19. 7 mayo 2008
    Jacobs permalink

    Hola:
    Tengo un problema con la conexion a internet me aparece que el sistema DNS no puede resolver nombres y no eh podido conectarme a internet.
    Tengo la direccion Ip pero el problema es el sistema Dns y no se como repararlo.
    Ojalá y me puedan ayudar.
    De ante mano Gracias.
    Tengo un modem 2WIRE modelo 1701 HG

  20. 28 marzo 2009
    Christian.Manz permalink

    hola, por lo visto tenemos el mismo problema, salvo que m comentario va a llegar un año despues del último.
    Paso a explicarte mi problema, hace unos dias, conseguí el karspersky, lo instalé pero me pareció joya, ahora bien no se si es un fake o no, porque leyendo en algunos portales el kaspersky 8.0.xxx, era una versión Beta. y desde que lo instalé tengo el problema de que se cae la conexion, y tengo que andar “REPARANDO” la conexión a internet todo el timepo por que el antivirus controla los DNS.

  21. 11 septiembre 2012
    jose luis permalink

    hola oye tengo instalado eset smart security 5 y me aparecio un mensajde de que tenia envenenamiento de dns que puedo hacer es muy malo?

  22. 6 abril 2013

    Respecto al envenenamiento en cache yo sí he recibido ese mensaje en algun momento y quisiera solucionarlo. Tenia el ESET pero acabo de instalar AVAST gratis. No se mucho de computadoras pero puedo intentar si me guian

  23. 25 abril 2013
    rodrigo farias permalink

    Desde hace unos días mi cortafuegos (eset endpoint security) me da notificaciones de ataques por envenenamiento de cache DNS, siempre de una misma ip remota… me gustaría saber a que me estoy enfrentando, y si debo tomar alguna medida, muchas gracias!!!

  24. 20 marzo 2016

    mi ese smart securyti 7 me dice ataque de envenenamiento de cache DNS
    origen:200.21.200.80 y me pone el internet muy lento alguien ha resolvido esto contesten ya q sus mensajes son del 2013 y el mio 2016 ya debieron averlo resuelto diganme la solucion

Escribir un comentario

Note: XHTML permitido. Tu email nunca será publicado.

Suscribirse a los comentarios via RSS