Sobre la vulnerabilidad de envenenamiento de DNS caché (la de Kaminsky), se ha comentado mucho en qué consiste, cuánto ha sido explotada, etc. Pero se dice muy poco de un aspecto fundamental, acerca de las medidas a aplicar, que es cómo se monitoriza que el comportamiento de un DNS es el correcto, es decir, que no ha sido (o está siendo) atacado explotando este problema. Tampoco se está diciendo (ahora) nada sobre otro tema relacionado, que es cómo utilizar un servidor DNS para detectar malware y analizar su comportamiento.
Buscando información sobre el tema, encontré dos papers sobre cómo utilizar los datos de estadísticas y el propio tráfico del DNS para detectar redes de botnets, y en general, monitorizar el comportamiento del servicio. Son estos:
- Antoine Schonewille, Dirk-Jan van Helmond: "The Domain Name Service as an IDS" (este aparece también en Sergio Hernando)
- Bojan Zdrnja, Nevil Browlee and Duane Wessels: "DNS anomalies"
Son una lectura muy buena :) , y por unos días, lo único que voy a poner: ¡es tiempo para un merecido descanso veraniego!. En septiembre volveré con nuevos temas para este blog.
Slds!
No hay comentarios:
Publicar un comentario