Monitorización para evitar el hijacking DNS

El hijacking DNS es algo que puede tener un impacto en la marca muy grande, además de ser el predecesor de ataques como por ejemplo un phishing dirigido, o poner malware en la supuesta página legítima.

Es por eso que es muy importante ser advertidos en el caso de un ataque de estas características. En el mercado existen diferentes herramientas comerciales y los proveedores ya se encargan de ofrecer este tipo de servicios.

¿Como funcionaría el ataque?

imagen de gohacking

Efectivamente se ataca al servidor DNS para conseguir el objetivo.

La herramienta que nos puede servir es dnshjmon. Bajamos la herramienta con git

git clone https://github.com/corelan/dnshjmon

Habrá que configurar varios ficheros antes de usar la herramienta.

Modificamos el fichero nameservers.conf

2

Aquí deberemos de poner contra que servidores DNS haremos las comprobaciones. Pueden ser DNS propios o DNS como los de Google por ejemplo.

Modificamos el archivo dnshjmon_dns.conf

3

Como sabemos de antemano que direcciones IP están configuradas, solo deberemos de indicarlas en el fichero de configuración.

Si abrimos el fichero podemos ver que está configurado para enviar correos cuando suceden ciertos eventos.

4

Una vez configurado, ejecutamos dnshjmon

5

La herramienta detecta que es la primera vez que la usamos y por lo tanto no tiene fichero de configuración. Lo configuramos con los parámetros de nuestro servidor de correo.

6

Una vez que se ha configurado el servidor de correo hará una comprobación de la dirección IP que hemos querido asegurar.

7

El script creará un fichero de configuración con los datos que hemos proporcionado.

10

Cuando la dirección IP cambie, la herramienta nos lo notificará con un correo electrónico.

11

Aquí tenemos el aviso de que la dirección había cambiado.

Notas:

1)-Para detectar los cambios tenemos que ejecutar el script por lo que deberemos de configurarlo en el crontab.

2)-La contraseña se almacena en texto claro, una próxima actualización del script sería hacer algún SALT para almacenarla.


Autor: Seifreed

Formado en un equipo de lucha contra el fraude. He trabajado implementando la protección y prevención del fraude en varios clientes dentro del sector bancario nacional e internacioal. Mi trabajo consiste en encontrar soluciones a los problemas actuales y futuros de las entidades financieras respecto al código malicioso y el fraude. Especialidades como el análisis de malware, análisis forense, ingeniería inversa o tareas de hacking ético, forman parte de mis tareas diarias. Soy ponente ien eventos nacionales (No cON Name, Owasp, Navaja Negra) e internacionales (DraonJAR CON - Colombia). Soy profesor asociado en La Salle enseñando el curso MPWAR (Master in High Performance Web Programming) y el máster de ciberseguridad de La Salle (MCS. Master in Cybersecurity) Miembro de asociaciones y grupos de research como la HoneyNet Project, Owasp, SySsec etc.. También soy el organizador de las conferencias Hack&Beers en Barcelona

Compartir este Artículo
  • kiroxa

    Muy buen aporte buena redacción

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES