¿Cómo funciona la comprobación de seguridad de DNS / enrutador?

3

Herramientas como esto se usan para verificar si su enrutador está infectado con malware que redirige su tráfico a través de los servidores DNS de los malos. ¿Cómo pueden estas herramientas saber qué servidores DNS se utilizan realmente y si son legítimos o no? Las respuestas a una pregunta similar indican que los fabricantes de herramientas están manteniendo Listas negras de servidores mal conocidos. Esto no me parece factible. Otro punto que no se discute es cómo las herramientas saben exactamente qué servidor DNS realizó la solicitud. Un servidor incorrecto no necesariamente envía una solicitud directa al servidor DNS que posee el dominio. Entonces, ¿cómo funciona todo esto, exactamente?

    
pregunta Atte Juvonen 28.11.2016 - 01:00
fuente

1 respuesta

2

Al observar la salida de tcpdump y la salida del depurador al ejecutar la herramienta, parece que la página recupera esta URL:

enlace

y obtiene una respuesta que se ve así:

{   "ping_url": " enlace cadena] .names.dnscheck.sc.fsapi.com / prod / v1 / result? apikey = [cadena arbitraria] & salida = dns " }

La cadena arbitraria en el nombre de host y la clave API parecen cambiar con cada solicitud.

... OBTENER esa URL devuelve un resultado como este:

{   "asn": "12008",   "asn_org": "NeuStar, Inc.",   "isp": "NTT America",   "org": "NeuStar",   "Código_continente": "NA",   "nombre_continente": "América del Norte",   "country_code": "US",   "country_name": "Estados Unidos",   "registered_country_code":   "NOSOTROS",   "registered_country_name":   "Estados Unidos",   "dns_ip": "165.254.23.143",   "known_public_dns": "Norton ConnectSafe",   "veredicto": "incierto" }

.. por lo que parece que tienen un servidor configurado para monitorear el origen de las búsquedas de DNS (razón por la cual obtiene su propio nombre de host personalizado / aleatorio para buscar) y luego hace un informe sobre la entidad que creó la solicitud.

El ejemplo que muestro aquí es de Firefox, que aparentemente está siendo interceptado por un servicio Norton que no instalé; Si hago la misma solicitud desde Chrome, muestra datos que identifican que la solicitud proviene de mi proveedor de red ascendente.

Por lo tanto, como se explica en su pregunta y los comentarios a su pregunta, parece que un proveedor de DNS mal inteligente podría pasar todas sus solicitudes a Google u otro proveedor de DNS ascendente, y esta herramienta probablemente no los detectaría. .

    
respondido por el gbroiles 29.11.2016 - 02:24
fuente

Lea otras preguntas en las etiquetas