¿Cuál es la diferencia entre la falsificación de DNS y el envenenamiento de caché de DNS?
Parece que hay pocas diferencias entre dos ataques, con la excepción de que el servidor DNS en realidad podría almacenar en caché la respuesta "falsa" del servidor DNS malicioso.
A pesar de lo que Wikipedia pueda decir, no son lo mismo. En términos generales, el envenenamiento de la memoria caché del DNS es una forma de falsificar el DNS, pero también hay otras formas de hacerlo.
La falsificación de DNS se refiere a la amplia categoría de ataques que falsifican registros de DNS. Es una categoría de ataques (un objetivo final del ataque, en lugar de un mecanismo de ataque particular). Hay muchas maneras diferentes de realizar la falsificación de DNS: comprometer un servidor DNS, montar un ataque de envenenamiento de caché de DNS (como Ataque Kaminsky contra un servidor vulnerable), monte un ataque Man-in-the-middle (si puede obtener acceso a la red), adivine un número de secuencia (tal vez haciendo muchas solicitudes) , sé una estación base falsa y miente sobre el servidor DNS a usar, y probablemente muchos más.
El envenenamiento de la memoria caché del DNS es una forma de falsificar el DNS. El envenenamiento de la caché de DNS se refiere al siguiente escenario: muchos usuarios finales usan la misma caché de DNS, y un atacante se las arregla para inyectar una entrada de DNS falsificada en esa caché. Por ejemplo, muchos ISP ejecutarán un servidor DNS de almacenamiento en caché y se encargarán de que sus clientes (los usuarios finales) prueben primero el servidor del ISP. Si un atacante puede encontrar una manera de hacer que el servidor DNS de almacenamiento en caché almacene en caché un registro incorrecto, entonces el atacante está configurado: ha logrado falsificar con éxito los registros DNS y afectar a todos los usuarios finales que dependen de ese caché.
¿Cómo se las arregla un atacante para envenenar un caché de DNS? Bueno, una forma común es montar algún ataque de suplantación de DNS en la solicitud de DNS desde la memoria caché al servidor DNS final. Sí, me doy cuenta de que esto se vuelve un poco recursivo. :-) Básicamente, usas cualquier ataque de suplantación de DNS para que la memoria caché acepte un registro falsificado (aquí puedes usar cualquier ataque de suplantación de DNS que puedas). Posteriormente, el resultado es que el caché almacenará en caché ese registro falso y, en consecuencia, muchos usuarios finales ahora también aceptarán ese registro falsificado.
Lea otras preguntas en las etiquetas dns spoofing dns-spoofing