Sumidero de DNS

Un sumidero de DNS o DNS Sinkhole (también llamado: sumidero de Internet, sumidero servidor y/o agujero negro de DNS)^[1] es un servidor DNS que proporciona información falsa, para evitar el uso de un nombre de dominio.

Operación[editar]

El sumidero de DNS es un proveedor de DNS que suministra resultados falsos a sistemas que buscan información de DNS, lo que permite a un atacante redirigir un sistema a un destino potencialmente malicioso. También se han utilizado históricamente para fines no maliciosos.

Cuando una computadora visita una servidor de DNS para resolver un nombre de dominio, el proveedor dará un resultado si es posible, y si no, enviará el sistema de resolución a un proveedor de nivel superior para intentarlo nuevamente. Cuanto más alto sea un sumidero de DNS en esta cadena, más solicitudes recibirá y más impacto tendrá.

Inhabilitación de nivel de red[editar]

Un sumidero de DNS es un servidor DNS estándar que se ha configurado para distribuir direcciones no enrutables para todos los dominios en el sumidero de DNS, de modo que cada computadora que lo utilice no logre acceder al sitio web real.^[2] Cuanto más arriba se encuentre el servidor DNS, más computadoras bloqueará. Algunos de los botnets más grandes se han vuelto inutilizables por los agujeros de dominio de nivel superior (TLD) que abarcan todo Internet.^[3] Los sumideros de DNS son efectivos para detectar y bloquear el tráfico malicioso, y se usan para combatir bots y otro tipo de tráfico no deseado.

Deshabilitar el nivel de host[editar]

De forma predeterminada, una computadora con Windows, Unix o Linux comprueba un archivo de hosts local antes que los servidores DNS, por lo que también se puede usar para bloquear sitios de la misma manera.

Uso contra malware[editar]

Es habitual el uso de sumidero de DNS para defenderse contra malware. Por ejemplo:

Para contener malware (ej. WannaCry y Avalanche).^[4]
Para impedir el acceso a sitios desde donde se controla una botnet. Se impide el acceso a estos sitios maliciosos devolviendo direcciones IP falsas o nulas como respuesta a peticiones de DNS intentado resolver los dominios que los bots tienen programados para usar para la coordinación.^[5]
Para interrumpir ataque DoS.

Referencias[editar]

↑ kevross33, pfsense.org (22 de noviembre de 2011). «BlackholeDNS: Anyone tried it with pfsense?». Consultado el 12 de octubre de 2012.
↑ Kelly Jackson Higgins, sans.org (2 de octubre de 2012). «DNS Sinkhole - SANS Institute». Consultado el 12 de octubre de 2012.
↑ Kelly Jackson Higgins, darkreading.com (2 de octubre de 2012). «Microsoft Hands Off Nitol Botnet Sinkhole Operation To Chinese CERT». Consultado el 2 de septiembre de 2015.
↑ https://gist.github.com/rain-1/989428fa5504f378b993ee6efbc0b168
↑ Sobre botnets, malware y DNS sinkhole…. Marvin G. Soto. medium.com. 3 de marzo de 2018

Datos: Q5205809

[BlackholeDNS-1] vross33, pfsense.org (22 de noviembre de 2011). «BlackholeDNS: Anyone tried it with pfsense?». Consultado el 12 de octubre de 2012.

[DNS_Sinkhole_-_SANS_Institute-2] Kelly Jackson Higgins, sans.org (2 de octubre de 2012). «DNS Sinkhole - SANS Institute». Consultado el 12 de octubre de 2012.

[Conficter_Hand_off-3] Kelly Jackson Higgins, darkreading.com (2 de octubre de 2012). «Microsoft Hands Off Nitol Botnet Sinkhole Operation To Chinese CERT». Consultado el 2 de septiembre de 2015.

[4] ttps://gist.github.com/rain-1/989428fa5504f378b993ee6efbc0b168

[5] Sobre botnets, malware y DNS sinkhole…. Marvin G. Soto. medium.com. 3 de marzo de 2018

[1]

[2]

[3]

[4]

[5]