¿Qué es el flujo rápido de DNS?

El flujo rápido de DNS es una forma de intercambiar rápidamente las direcciones IP asociadas a un dominio, para que los dominios maliciosos utilizados para ataques de phishing y otras actividades delictivas sean más difíciles de bloquear.

Metas de aprendizaje

Después de leer este artículo podrás:

  • Más información sobre qué es el flujo rápido de DNS y por qué lo utilizan los atacantes
  • Entender cómo funciona el flujo rápido de DNS
  • Más información sobre cómo se puede evitar el flujo rápido de DNS

Contenido relacionado


¿Quieres saber más?

Suscríbete a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.

Revisa la política de privacidad de Cloudflare para saber más sobre cómo Cloudflare gestiona tus datos personales.

Copiar el enlace del artículo

¿Qué es el flujo rápido de DNS?

El flujo rápido de DNS es una técnica que consiste en asociar múltiples direcciones IP a un único nombre de dominio y cambiar rápidamente estas direcciones IP. En ocasiones, se utilizan cientos o incluso miles de direcciones IP. Los atacantes utilizan el flujo rápido de DNS para que sus propiedades web sigan funcionando, para ocultar el verdadero origen de su actividad maliciosa y para evitar que los equipos de seguridad bloqueen su dirección IP. Esta técnica la suelen utilizar botnets.

Los atacantes necesitan que sus sitios web permanezcan activos para llevar a cabo ataques de phishing, alojar malware, vender información de tarjetas de crédito robadas y llevar a cabo otras actividades ilegales. Con el flujo rápido de DNS, los dominios maliciosos tienen más tiempo de actividad y son más difíciles de bloquear, lo cual permite que los ciberdelincuentes lleven a cabo más ataques. En esencia, el flujo rápido de DNS convierte los dominios maliciosos en un objetivo móvil.

Pensemos en un atracador de bancos que se da a la fuga: si la policía sabe qué coche conduce el atracador, pueden estar alerta y buscar coches con esa matrícula y detenerlos antes de que salgan de la ciudad. Ahora imaginemos que ese atracador de bancos tiene un maletero lleno de matrículas, y que se baja y cambia de matrícula cada dos kilómetros. A la policía le resultará mucho más difícil identificar el coche del atracador del banco. El flujo rápido de DNS tiene un efecto similar: al cambiar constantemente la dirección IP de un sitio web, es mucho más difícil identificarlo y bloquearlo.

¿Cómo funciona el flujo rápido de DNS?

Los atacantes asociarán varias direcciones IP a un nombre de dominio al cambiar rápidamente los registros DNS asociados a ese nombre de dominio. Se registrará una dirección IP, y luego será dada de baja y sustituida por una nueva dirección IP cada pocos minutos o segundos. Los atacantes pueden hacer esto al hacer uso de una técnica de equilibrio de carga conocida como DNS round robin, y al fijar un tiempo de vida (TTL) muy corto para cada dirección IP. Con frecuencia, algunas o todas las direcciones IP utilizadas serán alojamientos web que han puesto en riesgo los atacantes. Las máquinas en estas direcciones IP actuarán como proxies para el servidor de origen del atacante.

El DNS round robin es una forma de asociar varios servidores web redundantes a un dominio, cada uno con su propia dirección IP. Cuando el nombre del servidor autoritativo para ese dominio recibe una consulta, entrega una dirección IP diferente cada vez y, como resultado, ningún servidor web se ve sobrecargado por el tráfico (en teoría). Aunque el equilibrio de carga es el uso legítimo y previsto del DNS round robin, los atacantes pueden utilizar esta función para ofuscar su actividad maliciosa.

Los atacantes que utilizan flujo rápido también fijarán un TTL muy corto para estas direcciones IP, a veces tan corto como 60 segundos. Una vez que caduca el TTL, esa dirección IP dejará de estar asociada a ese nombre de dominio.

¿Qué es el flujo rápido doble?

El flujo rápido doble añade otra capa de flujo de DNS, lo que dificulta todavía más el bloqueo de un dominio y el rastreo del origen de la actividad maliciosa. Con el flujo rápido doble, la dirección IP del servidor de nombres autoritativo también se cambia rápidamente. (Una forma más técnica de decir esto es que tanto los registros A de DNS del dominio como los registros NS de DNS para la zona se cambian constantemente).

Sería como si el atracador de bancos descrito anteriormente no solo cambiara la matrícula todo el rato, sino que también lo hiciera con el coche.

¿Cómo se puede evitar el flujo rápido de DNS?

La forma más eficaz de detener el flujo rápido de DNS es retirar el nombre de dominio. Por diversos motivos, los registradores de nombres de dominio de no siempre quieren o pueden hacerlo.

Los administradores de la red también pueden exigir a los usuarios de su red que utilicen los servidores DNS que controlan, y que envíen a un agujero negro, o descarten, las solicitudes de los dominios maliciosos. De este modo, no se solucionan los dominios maliciosos, y los usuarios no pueden acceder a ellos. Esta técnica se denomina filtrado de DNS.