DNS | Seguridad Informática

Durante media hora el sábado 15 de Marzo las peticiones a uno de los servidores DNS de
Google en los EE.UU han sido secuestradas.Que quiere decir esto?

Durante el tiempo que el el ataque se mantuvo en la red, las peticiones de resolución DNS en
las áreas afectadas pudieron ser manipuladas redireccionando el trafico a IPs diferentes y por
tanto pudiéndose realizar un MITM a lo grande.
Se supone que el ataque se produjo a través de un anuncio falso de un router de la red de BT
en Venezuela a traves del protocolo BGP ( Border Gateway Protocol ) y esto causó el desvío ,
que afectó principalmente las redes en Venezuela y Brasil , así como una red de
universidades en Florida.
Los cambios de ruta a través de anuncios falsos BGP -anuncios enviados entre routers que se
supone que proporcionan información sobre la ruta más rápida a través de Internet a una red
específica- como la del servicio de DNS Google 8.8.8.0/24; se han convertido en cada vez en
ataques más comúnes como por ejemplo para para la censura en Internet

La empresa BGPmon.net ( @bgpmon ) se hizo eco de la noticia cuando detectó que el
sistema autónomo AS7908 de la compañía BT en Venezuela envió una actualización de las
DNS de Google cambiando la ruta hacia la red 8.8.8.0/24 al host 8.8.8.8/32. Esta
actualización normalmente se generaba a través del AS15199 de Google .
El ataque podría haberse usado para redirigir a los usuarios a webs falsas.Otras fuentes
apuntan a que podría haberse tratado de un error producido en una tarea de mantenimiento
de la red de BT en Venezuela.

Como funciona el protocolo BGP y como se realizó el ataque?
El Internet es una red de redes . Los routers se utilizan encaminar los datos entre distintas
redes de acuerdo con las direcciones IP que se almacenan en sus tablas de enrutamiento .
Para saber hacia donde enviar un dato los routers anuncian sus redes entre si.
Pero,y aquí viene lo importante, no existe una autoridad que valide el anuncio de una red por
parte de un router cualquiera.Por lo que la actualización de tablas de enrutamiento se realiza
cofiando en que son verídicas.
Por lo general este tipo de ataque se descubren pasado un tiempo, el que tarde el AS real
auncie sus redes de nuevo?,pero son complicados de parar.
Para que esto sucediese, un atacante debería hacerse con el control de un router de un ISP,
de mayor o menor calado, que hable BGP y que auncie sus redes a otros ISP

Imagen