Aunque sé cuál es el uso de un sumidero de DNS (supongo que sí), me cuesta entender qué tan escalable es esa solución.
DNS sinkhole o agujero negro DNS se utiliza para falsificar servidores DNS para evitar la resolución de nombres de host de URL especificados. Esto se puede lograr configurando el reenviador de DNS para devolver una dirección IP falsa a una URL específica.
Me topé con la siguiente discusión sobre Security StackExchange
¿Cómo puede alguien dominios de pozo? ?
Los autores de CryptoLocker utilizaron el siguiente esquema: el C & C registra nombres de dominio de apariencia aleatoria a una tasa bastante alta (¡1000 por día!). Los nombres de dominio se generan con un algoritmo pseudoaleatorio determinístico, que el malware también conoce. Por lo tanto, cuando CryptoLocker se ejecuta en la computadora de una víctima, intenta usar uno de los nombres de dominio du jour para hablar con la C & C. La esperanza del atacante es que las agencias policiales tengan que pasar por una burocracia administrativa pesada para forzar el cierre de un nombre de dominio, y no podrán hacerlo 1000 veces al día.
Luego dice:
Dado que el malware conoce el algoritmo de generación de dominios, un investigador (Dimiter Andonov) realizó una ingeniería inversa del código y, por lo tanto, pudo predecir los nombres de dominio por adelantado.
Así que supongo que cada vez más autores de varios tipos de malware aprovechan el enfoque tal como se utilizó en el caso CryptoLocker: no use un dominio, use miles de ellos, pero incluso si hay un solo dominio detrás. Para ello, primero debemos saberlo y configurar nuestro servidor DNS para resolver la IP del DNS Sinkhole. ¿Es la manera de hacerlo?