¿Existen herramientas de análisis de DNS que puedan detectar malos resultados de DNS?

4

¿Hay alguna herramienta (o al menos métodos que funcionen, si actualmente no existen herramientas gratuitas) que se puedan usar para detectar resultados de DNS falsos?

Sería muy sencillo detectar un ataque en la línea de DNSChanger (solo avise al usuario si se ha cambiado la IP del servidor DNS), pero suponga que un sistema como DNSChanger funcionó dirigiendo sus consultas de DNS y editándolas al vuelo .. ¿cómo podrías detectar esto?

    
pregunta 29.07.2012 - 08:55
fuente

3 respuestas

2

No tengo conocimiento de ninguna herramienta, y no estoy seguro de cuán efectivas serían. Si tiene suficientes privilegios para cambiar los servidores DNS de un sistema, probablemente también pueda desactivar cualquier programa antimalware.

Si aún lo desea, puede escribir fácilmente un script que haga lo siguiente:

  1. La consulta del dominio del que desea estar seguro es correcta, utilizando los servidores DNS del sistema
  2. Consulte un servidor DNS de confianza para el mismo dominio
  3. Consulte un segundo servidor DNS de confianza para el mismo dominio

De donde puedes concluir:

  • Si todos dan la misma IP, probablemente sea legítimo.
  • Si los servidores DNS confiables dan la misma IP pero el suyo no, algo anda mal
  • Si todos dan direcciones IP diferentes, el servidor de nombres del dominio de destino usa round-robin o horizonte dividido

Esto es, como en casi todo, no completamente seguro. Como dije, el malware necesita muchos privilegios para hacer esto, no es impensable que falsifique la IP de los servidores de confianza como OpenDNS o el DNS público de Google, lo que hace que parezcan dar la misma respuesta que el servidor de malware.

Probablemente, la única forma de asegurarse de que está hablando con servidores DNS confiables es mediante el uso de DNSSEC.

    
respondido por el Luc 29.07.2012 - 15:58
fuente
0

Seleccione un sitio cuya IP nunca cambie (no seleccione un sitio que use Akamai o cualquier otro alojamiento de IP múltiple, pero lo más probable es que sea un sitio de una pequeña empresa), y simplemente ejecute un script en la máquina, consultando constantemente ese sitio. Si la IP devolvió cambios, entonces sabes que tienes malware.

    
respondido por el Roy Reznik 29.07.2012 - 14:50
fuente
0

Puede ejecutar TSIG verificaciones de DNS (clave privada compartida entre el host y el solicitante), luego ejecutar un CRON que escucha las respuestas de error y solicita acción. Se usa para verificar las actualizaciones dinámicas de DNS, pero se podría usar fácilmente para la seguridad si configura la transferencia de clave secreta correctamente (por ejemplo, rsync sobre SSH).

  

Este protocolo permite la autenticación a nivel de transacción utilizando
  Secretos compartidos y hash de una manera. Se puede utilizar para autenticar
  actualizaciones dinámicas como provenientes de un cliente aprobado, o para autenticar   las respuestas provienen de un servidor de nombres recursivo aprobado.

     

No se han hecho previsiones aquí para distribuir el contenido compartido.   misterios; se espera que un administrador de red lo hará   Configure de forma estática los servidores de nombres y los clientes utilizando algunos de   mecanismo de banda tal como sneaker-net hasta un seguro automatizado   El mecanismo para la distribución de claves está disponible.

Con respecto a los registros obsoletos y los ataques de reproducción:

  

3.3. Valores de tiempo utilizados en los cálculos TSIG

     

Los datos digeridos incluyen los dos valores del temporizador en el encabezado TSIG   Para defenderse de los ataques de repetición. Si esto no se hubiera hecho,   un atacante podría reproducir mensajes antiguos pero actualizar el "Tiempo firmado"   y los campos "Fudge" para que el mensaje parezca nuevo.

Hay una excelente lectura sobre la seguridad del DNS en O'Reilly DNS and Bind .

    
respondido por el AbsoluteƵERØ 13.06.2013 - 17:52
fuente

Lea otras preguntas en las etiquetas