¿Qué es la seguridad DNS?

Cómo se utiliza el DNS en los ataques

Algunas amenazas incluyen ataques contra la infraestructura DNS:

• Denegación de servicio distribuido (DDoS): la infraestructura DNS es esencial para el funcionamiento de Internet. Los ataques DDoS contra DNS pueden hacer que los sitios web sean inaccesibles al hacer que los servidores DNS que los atienden no estén disponibles al saturar el rojo con lo que parece tráfico legítimo. Un ejemplo clásico de esto es el ataque DDoS de 2016 contra Dyn, donde un ejército de bots alojados en cámaras conectadas a Internet causó interrupciones en muchos sitios web importantes, incluidos Amazon, Netflix, Spotify y Twitter.
• Amplificación DDoS de DNS: DNS utiliza UDP, un protocolo sin conexión, para el transporte lo que significa que un atacante puede suplantación de la dirección de origen de una solicitud DNS y recibir la respuesta enviada a una dirección IP de su elección. Además, las respuestas DNS pueden ser mucho más grandes que las solicitudes correspondientes. Los atacantes DDoS aprovechan estos factores para amplificar sus ataques enviando una pequeña solicitud a un servidor DNS y teniendo una respuesta masiva transmitida de vuelta al objetivo. Esto da como resultado un DoS del host de destino.
• Otros ataques de denegación de servicio (DoS): además de los ataques DDoS basados en la red, la aplicación que se ejecuta en servidores DNS también puede ser objetivo de ataques DoS. Estos ataques están diseñados para explotar la vulnerabilidad en la aplicación del servidor DNS, impidiéndoles responder a solicitudes legítimas.

El DNS también puede ser abusado y utilizado en ataques cibernéticos. Los ejemplos del abuso de DNS incluyen:

• Secuestro de DNS: El secuestro de DNS se refiere a cualquier ataque que engaña a un usuario para que piense que se está conectando a un dominio legítimo mientras que en realidad está conectado a un dominio malicioso. Esto se puede lograr usando un servidor DNS comprometido o malicioso o mediante el uso de un servidor DNS para que almacene datos DNS incorrectos (un ataque llamado envenenamiento de caché).
• Túnel DNS: como DNS es un protocolo confiable, la mayoría de las organizaciones le permiten entrar y salir libremente de su red. Los ciberdelincuentes aprovechan el DNS para la filtración de datos con malware cuyas solicitudes de DNS contienen los datos que se están exfiltrando. Dado que el servidor DNS de destino suele estar controlado por el propietario del sitio web de destino, los atacantes se aseguran de que los datos lleguen a un servidor donde puedan procesarlos y que se envíe una respuesta en el paquete de respuesta DNS.
• Evasión de seguridad mediante nombres de dominio aleatorios (DGA): los actores de amenazas utilizan algoritmos sofisticados para generar cientos de miles de nuevos nombres de dominio utilizando un algoritmo de generación de dominio (DGA). El malware instalado en una computadora infectada utilizará estos nuevos nombres de dominio para evadir la detección y conectarse al servidor de comando y control externo del hacker. Las soluciones de seguridad tradicionales no son lo suficientemente rápidas como para determinar si estos dominios son maliciosos o no, por lo que simplemente dejan pasar de manera predeterminada.

Analytics, inteligencia sobre amenazas y Threat Hunting

El monitoreo de su tráfico DNS puede ser una rica fuente de datos para sus equipos del Centro de Operaciones de Seguridad (SOC), ya que monitorean y analizan la postura de seguridad de su empresa. Además de monitorear firewall para detectar indicadores de compromiso (IoC) de DNS, los equipos de SOC también pueden estar atentos a dominios similares.