¿Hay alguna herramienta (o al menos métodos que funcionen, si actualmente no existen herramientas gratuitas) que se puedan usar para detectar resultados de DNS falsos?
Sería muy sencillo detectar un ataque en la línea de DNSChanger (solo avise al usuario si se ha cambiado la IP del servidor DNS), pero suponga que un sistema como DNSChanger funcionó dirigiendo sus consultas de DNS y editándolas al vuelo .. ¿cómo podrías detectar esto?
No tengo conocimiento de ninguna herramienta, y no estoy seguro de cuán efectivas serían. Si tiene suficientes privilegios para cambiar los servidores DNS de un sistema, probablemente también pueda desactivar cualquier programa antimalware.
Si aún lo desea, puede escribir fácilmente un script que haga lo siguiente:
De donde puedes concluir:
Esto es, como en casi todo, no completamente seguro. Como dije, el malware necesita muchos privilegios para hacer esto, no es impensable que falsifique la IP de los servidores de confianza como OpenDNS o el DNS público de Google, lo que hace que parezcan dar la misma respuesta que el servidor de malware.
Probablemente, la única forma de asegurarse de que está hablando con servidores DNS confiables es mediante el uso de DNSSEC.
Seleccione un sitio cuya IP nunca cambie (no seleccione un sitio que use Akamai o cualquier otro alojamiento de IP múltiple, pero lo más probable es que sea un sitio de una pequeña empresa), y simplemente ejecute un script en la máquina, consultando constantemente ese sitio. Si la IP devolvió cambios, entonces sabes que tienes malware.
Puede ejecutar TSIG verificaciones de DNS (clave privada compartida entre el host y el solicitante), luego ejecutar un CRON que escucha las respuestas de error y solicita acción. Se usa para verificar las actualizaciones dinámicas de DNS, pero se podría usar fácilmente para la seguridad si configura la transferencia de clave secreta correctamente (por ejemplo, rsync sobre SSH).
Este protocolo permite la autenticación a nivel de transacción utilizando
Secretos compartidos y hash de una manera. Se puede utilizar para autenticar
actualizaciones dinámicas como provenientes de un cliente aprobado, o para autenticar las respuestas provienen de un servidor de nombres recursivo aprobado.No se han hecho previsiones aquí para distribuir el contenido compartido. misterios; se espera que un administrador de red lo hará Configure de forma estática los servidores de nombres y los clientes utilizando algunos de mecanismo de banda tal como sneaker-net hasta un seguro automatizado El mecanismo para la distribución de claves está disponible.
Con respecto a los registros obsoletos y los ataques de reproducción:
3.3. Valores de tiempo utilizados en los cálculos TSIG
Los datos digeridos incluyen los dos valores del temporizador en el encabezado TSIG Para defenderse de los ataques de repetición. Si esto no se hubiera hecho, un atacante podría reproducir mensajes antiguos pero actualizar el "Tiempo firmado" y los campos "Fudge" para que el mensaje parezca nuevo.
Hay una excelente lectura sobre la seguridad del DNS en O'Reilly DNS and Bind .