Blogs de la ICANN

Los blogs de la ICANN brindan información actualizada sobre actividades de desarrollo de políticas, eventos regionales y demás novedades.

Monitoree el tráfico del DNS y puede capturar UNA RATA

22 de septiembre de 2014
Por Dave Piscitello

Además de estar disponible en los seis idiomas de las Naciones Unidas, este contenido también está disponible en

Los delincuentes explotarán cualquier servicio o protocolo de Internet en cuanto se les presente la oportunidad. Aquí hay seis signos de actividad sospechosa que se deben observar en el DNS.

Los administradores de TI tienen la ingrata tarea de tener que vigilar dispositivos, hosts y redes en busca de signos de actividad maliciosa. La detección de intrusión al host y la protección de puntos finales pueden ser medidas de seguridad indispensables para muchas organizaciones, pero no hay nada como monitorear el tráfico del DNS si desea exponer una RATA, un rootkit, una amenaza persistente avanzada (APT) u otro software malicioso que se haya alojado en sus redes.

¿Por qué el DNS?
Los delincuentes explotarán cualquier servicio o protocolo de Internet en cuanto se les presente la oportunidad y esto incluye el DNS. Registran nombres de dominio descartables para campañas de correo no deseado y administración de botnet, y utilizan dominios comprometidos para suplantación de identidad (phishing) del host o descargas de software malicioso. Insertan consultas maliciosas para explotar servidores de nombres o afectar la resolución de nombres. Insertan respuestas astutas para envenenar cachés de resolución o amplificar ataques de denegación de servicio. Incluso utilizan el DNS como un canal encubierto para exfiltración de datos o actualizaciones de software malicioso.

Es posible que no pueda seguir el ritmo de cada explotación nueva del DNS pero puede ser proactivo al usar firewalls, sistemas de detección de intrusos (IDS) basados en red o resolutores de nombres a fin de informar ciertos indicadores de actividad sospechosa del DNS.

¿Qué busca?
La composición de consultas del DNS o los patrones de tráfico ofrecen signos de que existe actividad sospechosa o maliciosa en sus redes. Por ejemplo:

Las consultas de DNS desde direcciones de origen falsificadas o direcciones que usted no ha autorizado su uso pero no filtran el egreso especialmente cuando se observan junto con un volumen inusualmente alto de consultas de DNS o consultas de DNS que utilizan TCP en vez de UDP pueden indicar que los hosts infectados en su red participan en un ataque de DDoS.

Las consultas de DNS mal conformado pueden ser síntomas de un ataque de explotación de vulnerabilidad contra el servidor de nombres o resolutor identificado por la dirección IP de destino. Asimismo, pueden indicar que tienen dispositivos con funcionamiento incorrecto en su red. Las causas de los problemas de estos tipos pueden ser software malicioso o intentos frustrados para eliminar el software malicioso.

Las consultas de DNS que solicitan resolución de nombres de dominios maliciosos conocidos o nombres con características comunes a algoritmos de generación de dominios (DGA) asociados con botnets delictivos y consultas a resolutores que usted no autorizó su uso en muchos casos son indicadores obvios de hosts infectados en sus redes.

Las respuestas de DNS también ofrecen signos de que se entregan datos sospechosos o maliciosos a los hosts en sus redes. Por ejemplo, las características de longitud o composición de respuestas de DNS pueden revelar una intención maliciosa o delictiva. Por ejemplo, los mensajes de respuesta son inusualmente largos (ataque de amplificación) o la respuesta o secciones adicionales del mensaje de respuesta son sospechosas (envenenamiento de la caché, canal encubierto).

Las respuestas de DNS para su propia cartera de dominios que se resuelven a direcciones IP que son diferentes de lo que publicó en sus zonas autoritativas, las respuestas de servidores de nombres que no autorizó para alojar su zona y las respuestas positivas a nombres en sus zonas que deben resolverse a error de nombre (NXDOMAIN) pueden indicar un secuestro de nombre de dominio o cuenta de registro o una modificación de respuesta del DNS.

Las respuestas de DNS de direcciones IP sospechosas, por ejemplo, direcciones de bloques IP que se asignan a la red de acceso de banda ancha, el tráfico de DNS que aparece en un puerto no estándar, una cantidad inusualmente alta de mensajes de respuesta que resuelven dominios con breves tiempos de vida (TTL) o un número inusualmente alto de respuestas que contienen "error de nombre" (NXDOMAIN) son indicadores frecuentes de hosts infectados y controlados por botnets que ejecutan software malicioso.

Diversas formas de monitoreo del DNS pueden exponer estas amenazas, muchas en tiempo real. En la Part II, analizo cómo se pueden implementar mecanismos para detectarlas en firewalls de Internet, mediante sistemas de intrusión de red, análisis del tráfico o datos de registro.

Este artículo se publicó originalmente el 12 de junio de 2014 en Dark Reading.

Authors

Dave Piscitello