Network Security

¿Qué es un ataque NXNSA?

El ataque al servidor de nombres no existente (NXNSAttack) puede paralizar un sistema DNS, imposibilitando el acceso de los usuarios a los recursos de Internet. Esto es lo que debe saber sobre este nuevo ataque.

El sistema de nombres de dominio (DNS) es el protocolo que traduce un nombre de dominio, por ejemplo, paloaltonetworks.com, a una dirección IP; en este caso, 199.167.52.137. El DNS es omnipresente en Internet; sin él, tendríamos que memorizar las cadenas de direcciones IP. Pero el DNS también ha sufrido una serie de vulnerabilidades y ciberataques en los últimos años. Un nuevo ataque, denominado NoneXistent Name Server Attack (NXNSAttack), aprovecha una vulnerabilidad expuesta por primera vez por un grupo de académicos.

Vídeo relacionado

Cómo utilizan los atacantes el DNS para robar sus datos

Un ataque NXNSA impacta en los Solucionadores de DNS recursivos, que forman parte del proceso de resolución DNS (o "búsqueda DNS"). Los Solucionadores de DNS pasan las Consultas DNS de los usuarios finales a los servidores de nombres autoritativos, que devuelven las cadenas IP a los Solucionadores de DNS y, en última instancia, a los usuarios finales. El protocolo DNS tiene incorporado un mecanismo de seguridad que permite a los servidores autoritativos delegar la búsqueda DNS en servidores alternativos. Este es el mecanismo que aprovecha el ataque NXNSAttack.

A continuación se describen los pasos del ataque en términos sencillos.

  1. El atacante envía una consulta DNS (o múltiples consultas DNS con la ayuda de bots) a un Solucionador de DNS para un dominio como ataque[.]com. .

  2. El Solucionador de DNS, que no está autorizado para resolver la consulta, la reenvía a un servidor autoritativo, que es propiedad o está comprometido por el atacante. Poseer un gran número de servidores autorizados no es difícil. Una vez que los atacantes registran un dominio, en este ejemplo ataque[.]com, pueden asociarlo a cualquier servidor autorizado de Internet.

  3. El servidor autoritativo comprometido responde al Solucionador de DNS recursivo que delegará la solicitud de búsqueda en una amplia lista de servidores alternativos. La lista puede contener miles de subdominios del sitio web de la víctima.

  4. El Solucionador de DNS reenvía la consulta DNS a todos los subdominios, creando una oleada de tráfico para el servidor autoritativo de la víctima. El tráfico masivo puede colapsar el Solucionador de DNS de la víctima.

Una vez que el Solucionador de DNS de una empresa se bloquea, deja de responder a las solicitudes de los usuarios. El sitio web, el comercio electrónico, los chats de vídeo, la asistencia y otros servicios web no estarán disponibles.

Se han publicado parches para evitar que los atacantes inunden los servidores DNS. Una de las protecciones contra un ataque NXNSAttack, por lo tanto, es mantener el Solucionador de DNS actualizado a la última versión.

Para más información sobre los ataques NXNSA, visite https://www.paloaltonetworks.es/network-security/advanced-dns-security.

Reciba las últimas novedades, invitaciones a eventos y alertas de amenazas