En este blog informático está reflejada mi experiencia en el mundo de la informática. Mis publicaciones serán sobre seguridad informática e Internet. Las técnicas y herramientas aquí explicadas son para fomentar la seguridad de la información dentro de la filosofía del hacking ético. En línea desde 2005.

Estudiar hábitos de navegación en servidor DNS para detectar posibles amenazas.

Estudiar los hábitos de navegación de los usuarios de una red, en las estadísticas del servidor DNS, puede ayudar a detectar amenazas como: malware, ordenadores zombie pertenecientes botnets, phishing, pharming... En este post tratare de dos herramientas ideales para este cometido, una para generar estadísticas gráficas y otra para investigar a fondo los resultados sospechosos de estas estadísticas.


Para generar estadísticas gráficas DSC, es un sistema para la recogida y exploración de las estadísticas de los servidores DNS en funcionamiento. Actualmente cuenta con dos componentes principales:

  • Colector, el proceso colector utiliza libpcap para recibir mensajes DNS enviados y recibidos en una interfaz de red. Se puede ejecutar en la misma máquina que el servidor DNS, o en otro sistema conectado a un conmutador de red configurado para realizar puerto espejo. Un archivo de configuración define un número de conjuntos de datos y otras opciones. Los conjuntos de datos son guardados en disco cada 60 segundos como archivos XML. Los archivos XML son enviados mediante una tarea programada a un servidor independiente para ser archivados y posteriormente ser procesados.
  • Presentación, este componente recibe conjuntos de datos XML del colector. La tarea de analizar archivos XML es lenta, debido a un proceso de extracción que los convierte a otro formato. Actualmente ese formato es un archivo de texto basado en línea.

Dsc utiliza un script CGI para mostrar los datos en un navegador web. La interfaz permite cambiar las escalas de tiempo, seleccionar los nodos particulares dentro de un clúster de servidores y aislar las claves de conjuntos de datos individuales.

Mas información y descarga de dsc:
http://dns.measurement-factory.com/tools/dsc/

Cuando en este generador de estadísticas encontramos dominios o consultas sospechosos. Podemos investigar mejor los datos con dnstop.

Dnstop es una aplicación libpcap que muestra diversas estadísticas de tráfico DNS en la red. Actualmente dnstop muestra tablas de:

  • Direcciones IP de origen.
  • Las direcciones IP de destino.
  • Los tipos de consulta.
  • Los códigos de respuesta.
  • Opcodes.
  • Dominios de nivel superior.
  • Dominios de segundo nivel.
  • Dominios de tercer nivel.

Dnstop soporta tanto las direcciones IPv4 e Ipv6. Su principal cometido es ayudar a encontrar las consultas DNS especialmente indeseables a través de una serie de filtros. Los filtros sirven para mostrar sólo las siguientes tipos de consultas:

  • Para TLD desconocidos o no válidos.
  • Consultas donde el nombre de la consulta ya es una dirección IP.
  • Consultas PTR para espacio de direcciones  RFC1918.
  • Respuestas con código rechazados.

Dnstop puede o bien leer los paquetes capturados desde un interfaz de red o de un archivo de captura tcpdump.

Más información y descarga de dnstop:
http://dns.measurement-factory.com/tools/dnstop/index.html

Con las estadísticas gráficas de dsc resulta mas practico detectar amenazas en consultas DNS. Una vez detectadas estas amenazas se puede obtener mas información de estas consultas concretas con dnstop. Al obtener resultados sobre posible dominios sospechosos podemos consultar su reputación en una blacklist y analizar dicho dominio con un servicio online antivirus.

Blaclist de dominios online:
http://mxtoolbox.com/domain/

Servicio online antivirus:
https://sucuri.net/scanner


Post anteriormente publicados en este blog relacionados con seguridad en servidores DNS:

Herramientas para auditar seguridad de servidores DNS:
http://www.gurudelainformatica.es/2015/06/herramientas-para-auditar-seguridad-de.html 

Obtener hábitos de navegación de servidor DNS con técnicas de DNS Snooper. http://www.gurudelainformatica.es/2015/01/obtener-habitos-de-navegacion-de.html
Estudiar hábitos de navegación en servidor DNS para detectar posibles amenazas. Estudiar hábitos de navegación en servidor DNS para detectar posibles amenazas. Reviewed by Álvaro Paz on miércoles, julio 08, 2015 Rating: 5
Publicar un comentario
Este Blog sobre Seguridad Informática está bajo una licencia de Creative Commons, Álvaro Paz. Con la tecnología de Blogger.