Ataque de reabastecimiento de DNS: ¿este ataque requiere que la víctima use el servidor DNS de un atacante para su resolución? ¿Cómo sucederá eso?

La víctima no necesita usar el servidor de nombres de los atacantes, aunque esto puede facilitar las cosas. La idea principal es que el registro DNS original está bajo el control de los atacantes y, por lo tanto, también el TTL (tiempo de vida) de este registro:

• La víctima intenta acceder al sitio web. Para obtener la dirección le pide al servidor DNS de la empresa. Debido a que el registro aún no está en caché, el servidor DNS resuelve el nombre de manera recursiva y devuelve el registro (del servidor DNS de los atacantes) a la víctima.
• Si la víctima necesita buscar nuevamente la dirección IP (que a menudo puede ser activada por fallas de conexión en la primera IP), nuevamente le preguntará al servidor DNS de la compañía. Si el registro se almacena en caché, se comprueba el TTL. Si el registro sigue siendo válido, se devolverá a la víctima (con la dirección anterior). Si no es válido, el servidor DNS de la empresa volverá a resolver el nombre de forma recursiva y al final obtendrá el nuevo registro del servidor DNS de los atacantes.

Otra opción sería que el atacante devuelva una respuesta que ya contenga ambas direcciones IP (la buena y la mala). La víctima utilizará primero la buena dirección. Una vez que esto deja de funcionar (lo que puede ser activado por el atacante), la víctima volverá a intentar con la dirección IP alternativa (incorrecta).