Después de leer la pregunta sobre un secuencia de comandos de Google Analytics manipulada me pregunto cómo protegería contra este tipo de ataque. .
Lo que me viene a la mente es configurar la IP del DNS fija en la configuración de la red o usar un túnel, pero en ambos casos no detectarías el ataque.
¿Hay una manera de protegerse y también ser capaz de detectar el ataque?
Me temo que no tendremos una solución adecuada hasta que todos utilicemos DNSSEC.
Sin embargo, predigo que a menos que alguien descubra una falla realmente crítica en el protocolo DNS que obligue a todos a implementarlo, tomará muchos años just (solo vea IPv6).
Como solución parcial, podría tener el sistema de resolución de DNS configurado en un sistema de resolución de DNS de confianza que también firme todas las respuestas sin firmar con su propia clave. Eso no detectará que el servidor dns proporcionado en la respuesta DHCP sea malicioso / envenenado, pero, agregando el código apropiado en el resolvedor de stub, si todas las consultas de DNS fueron contestadas por el malvado servidor de DNS, podría notar eso.
Creo que la única manera de detectar el ataque sería ejecutar una secuencia de comandos personalizada en el fondo de su sesión, que enviaría todas sus solicitudes de DNS a un servidor DNS seguro (usando firma o HTTPS) y también a su DNS local. Luego podría comparar los resultados y darle un cuadro de alerta si los resultados no coinciden, por ejemplo. si las direcciones IP proporcionadas no están registradas en el mismo dominio ...
Lea otras preguntas en las etiquetas dns