Bloquear el DNS hijacking por parte del ISP

Esto que voy a explicar hoy no es nada novedoso, pero si molesto para algún sector de usuarios. Se trata del DNS hijacking. Como ya sabréis algunos, me mude de casa hace unos meses y contraté mi servicio de ADSL en casa. Los únicos cambios que le hice a mi router, fue deshabilitar el WPS, cambiar el SSID y el password, además de accesos y etc..

La compañía contratada es Jazztel. Hay veces que como muchas personas, me equivoco al escribir el dominio web que voy a visitar. Mi sorpresa fue, encontrarme que era Jazztel, que a modo de “ayuda” me mostraba una página con un buscador del dominio al que yo había tratado de acceder.

jazztel1

Ya no me acordaba que Jazztel es uno de los operadores que practica el DNS hijacking.

¿Esto que quiere decir?

Vamos a la terminal.


darkmac:~ marc$ ping www.midominioinventado.es
PING www.midominioinventado.es (81.200.64.180): 56 data bytes
64 bytes from 81.200.64.180: icmp_seq=0 ttl=51 time=63.643 ms
64 bytes from 81.200.64.180: icmp_seq=1 ttl=51 time=61.092 ms
64 bytes from 81.200.64.180: icmp_seq=2 ttl=51 time=73.953 ms
64 bytes from 81.200.64.180: icmp_seq=3 ttl=51 time=62.912 ms
64 bytes from 81.200.64.180: icmp_seq=4 ttl=51 time=63.172 ms

--- www.midominioinventado.es ping statistics ---
5 packets transmitted, 5 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 61.092/64.954/73.953/4.582 ms
darkmac:~ marc$

El dominio web no existe, pero en cambio me contesta el ping…. ¿Pero de quien es esta IP?


darkmac:~ marc$ dig -x 81.200.64.180 +short
dnssearch.jazztel.com.

Vaya, parece que la IP, pertenece a un subdominio web, concretamente a dnssearch.jazztel.com


darkmac:~ marc$ nslookup www.dominioinventado.es
Server: 87.216.1.65
Address: 87.216.1.65#53

Non-authoritative answer:
Name: www.dominioinventado.es
Address: 81.200.64.180

darkmac:~ marc$

Hay otra IP implicada en el caso la IP  87.216.1.65 que es DNS de Jazztel, esto es normal :D.

Otra de las maneras que se tiene de comprobar quien “está en medio”. Es hacer un curl.


server-home:sqlmap marc$ curl -I www.midominioinvenado.es
HTTP/1.1 403 Forbidden
Date: Sun, 18 Aug 2013 18:46:47 GMT
Server: Apache
Connection: close
Content-Type: text/html; charset=iso-8859-1

server-home:sqlmap marc$ curl -v -I www.midominioinvenado.es
* About to connect() to www.midominioinvenado.es port 80 (#0)
* Trying 81.200.64.180...
* connected
* Connected to www.midominioinvenado.es (81.200.64.180) port 80 (#0)
> HEAD / HTTP/1.1
> User-Agent: curl/7.24.0 (x86_64-apple-darwin12.0) libcurl/7.24.0 OpenSSL/0.9.8x zlib/1.2.5
> Host: www.midominioinvenado.es
> Accept: */*
>
< HTTP/1.1 403 Forbidden
HTTP/1.1 403 Forbidden
< Date: Sun, 18 Aug 2013 18:46:55 GMT
Date: Sun, 18 Aug 2013 18:46:55 GMT
< Server: Apache
Server: Apache
< Connection: close
Connection: close
< Content-Type: text/html; charset=iso-8859-1
Content-Type: text/html; charset=iso-8859-1

<
* Closing connection #0

Si miramos dicha IP en Robtex.

jazztel2

En realidad el Subdominio no pertenece a Jazztel.

Podemos ver un Summary también.

jazztel3

A mi personalmente, me molesta que haya interceptando mis consultas , aunque sea el ISP el que me proporcione mi acceso a Internet.

Evitando el DNS hijacking.

Pues para evitar esto, lo que tenemos que hacer es cambiar los DNS del router a los siguientes de OpenDNS, por ejemplo.

  • 208.67.222.222
  • 208.67.220.220

Otra de las opciones es usar software como Namebench.

https://code.google.com/p/namebench/

En el caso de Jazztel, solo intercepta los dominios fallidos cuando son del tipo www.dominio.es


Autor: Seifreed

Formado en un equipo de lucha contra el fraude. He trabajado implementando la protección y prevención del fraude en varios clientes dentro del sector bancario nacional e internacioal. Mi trabajo consiste en encontrar soluciones a los problemas actuales y futuros de las entidades financieras respecto al código malicioso y el fraude. Especialidades como el análisis de malware, análisis forense, ingeniería inversa o tareas de hacking ético, forman parte de mis tareas diarias. Soy ponente ien eventos nacionales (No cON Name, Owasp, Navaja Negra) e internacionales (DraonJAR CON - Colombia). Soy profesor asociado en La Salle enseñando el curso MPWAR (Master in High Performance Web Programming) y el máster de ciberseguridad de La Salle (MCS. Master in Cybersecurity) Miembro de asociaciones y grupos de research como la HoneyNet Project, Owasp, SySsec etc.. También soy el organizador de las conferencias Hack&Beers en Barcelona

Compartir este Artículo
  • Walter

    que buen post

    no entendi lo de la curl, seria bueno que lo explicaras un poco mas

    • Hola!

      ¿Que es lo que no entendiste exactamente? 😀

  • Tambien podriamos usar los DNS de Google o no?

    • Si, pero me gusta usar los de un proyecto tan chulo como OpenDNS

  • Muy bueno.
    Otra posibilidad sería modificar el DNS local (así que por DHCP sólo te daría la IP y la máscara).
    Esto sería útil en el caso de que no se tenga acceso al router.
    Saludos!

    • Claro que si, buena aportación!

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES