Comprobando vulnerabilidad DNS desde Windows

Enviado por admin el 24. Julio 2008 - 18:36.

Hace unos días publiqué, en forma de comentario, cómo podíamos verificar si nuestros servidores DNS (o los de nuestro proveedor) seguían siendo vulnerables, utilizando para ello comandos de Linux y UNIX.

Hoy, la misma fuente nos ofrece un sistema similar para comprobar la vulnerabilidad, pero desde la línea de comandos de Windows...

En este caso los comandos que podemos emplear son los siguientes:

nslookup -type=txt -timeout=30 porttest.dns-oarc.net
nslookup -type=txt -timeout=30 porttest.dns-oarc.net ns1.your-isp.com
nslookup -type=txt -timeout=30 porttest.dns-oarc.net NS-SERVER-IP

Es decir, sin especificar el servidor DNS a verificar, especificando su nombre o indicando su IP.

En cualquiera de los casos, en la respuesta ha de aparecer la palabra GOOD si nuestro DNS está a salvo de ataques.

 

Referencias:

»

Comentarios

Selecciona arriba tu forma preferida de visualizar
los comentarios y pulsa el botón para guardar tus
preferencias. Éstas sólo se recordarán para tus
próximas visitas si eres usuario registrado.

mmm...

Enviado por HoCe-- el 24. Julio 2008 - 21:10.

En mi trabajo estamos usando los DNS que nos da el ISP.
En la página de Kaminsky pasaba el test, pero con este la respuesta que me da es esta:

Respuesta no autoritativa:
porttest.dns-oarc.net canonical name = z.
.f.e.d.c.b.a.pt.dns-oarc.net

Estamos bien o cambio todo a OpenDNS???

Algunos servidores no permiten este test

Enviado por anónimo el 24. Julio 2008 - 21:20.

Algunos servidores DNS que estoy comprobando no devuelven ningún resultado o devuelven el resultado de no autoritativa, simplemente porque estan configurados de forma que solo permiten resolución para ciertas ip's.

Por ejemplo en un datacenter existen servidores dns solo para resolución para clientes, que esten dentro del rango de IP's permitidas.

Es decir este test sería valido para comprobar cualquier servidor no público.

El problema del DNS como ya se ha comentado por aquí es más general de lo esperado ya que aunque nosotros tengamos nuestras dns correctas, que pasa si por ejemplo envio un e-mail, que este es reenviado por ejemplo a un relay y de ahí pasa al destino, si en el camino alguien ha envenenado las dns? pues que podria redirigir los e-mails a otro servidor :-)

Si he dicho alguna barbaridad corregirme.

También funciona en *nix

Enviado por anónimo el 24. Julio 2008 - 21:31.

El comando "nslookup" está disponible tanto en Linux/Unix como en Windows, y se utiliza exactamente de la misma manera, por lo que la "receta" que has publicado funciona en todos estos sistemas operativos.

Gracias por el post!

no contesta nada ¿qué significa pues?

Enviado por anónimo el 25. Julio 2008 - 0:26.

He realizado este test y no me devuelve ninguna respuesta, qué significa pues, por lo menos good no aparece pero ninguna otra valoración.

Mira esto

Enviado por anónimo el 25. Julio 2008 - 10:10.

http://www.kriptopolis.org/node/6242/38678#comment-38678

Otra cosa

Enviado por admin el 25. Julio 2008 - 11:22.

Es importante no repetir el test antes de 60 segundos:

https://www.dns-oarc.net/oarc/services/porttest

OpenDNS: la mosca detrás de la oreja

Enviado por anónimo el 25. Julio 2008 - 10:17.

Hola.

Desde esta web, en los comentarios, se están recomendando mucho los servidores dns de OpenDNS.com, lo cual parece que están bien porque no son vulnerables. Pero yo veo un problema. Si resolvemos www.google.com usando los dns de Telefónica y los de OpenDNS, tenemos valores distintos:

# nslookup www.google.com 80.58.0.33
Server: 80.58.0.33
Address: 80.58.0.33#53

Non-authoritative answer:
www.google.com canonical name = www.l.google.com.
Name: www.l.google.com
Address: 216.239.59.104
Name: www.l.google.com
Address: 216.239.59.147
Name: www.l.google.com
Address: 216.239.59.103
Name: www.l.google.com
Address: 216.239.59.99

# nslookup www.google.com 208.67.222.222
Server: 208.67.222.222
Address: 208.67.222.222#53

Non-authoritative answer:
www.google.com canonical name = google.navigation.opendns.com.
Name: google.navigation.opendns.com
Address: 208.69.34.231
Name: google.navigation.opendns.com
Address: 208.69.34.230

Es decir, OpenDNS me está dando unas IPs distintas, que son suyas, y está usando en realidad una web distinta (google.navigation.opendns.com), que es una copia casi calcada de www.google.com (en mi caso www.google.es).

Es decir, tenemos un claro caso de spoofing. Si no, abrid las siguientes dos urls:

http://google.navigation.opendns.com/
http://www.google.es/

y comprobad resultados.

Ahora hago otra consulta, esta vez al dominio www.bbva.es:

correo:~# nslookup www.bbva.es 208.67.222.222
Server: 208.67.222.222
Address: 208.67.222.222#53

Non-authoritative answer:
Name: www.bbva.es
Address: 195.76.187.83

correo:~# nslookup www.bbva.es 80.58.0.33
Server: 80.58.0.33
Address: 80.58.0.33#53

Non-authoritative answer:
Name: www.bbva.es
Address: 195.76.187.83

y la respuesta sí es correcta, por lo que parece que al menos no lo hacen con todos los dominios, y sí con Google.

Ahora mis preguntas. ¿Son fiables los señores de OpenDNS? ¿Es posible que sean ellos los verdaderos spoofers? ¿Por qué resuelven todos los dominios, incluso los no existentes? Supongo que esto será para filtrar y redireccionar dominios mal escritos o casos de la misma índole. ¿Qué ganan siendo resolvedores de dns universal y gratuito? Se están empapando del uso de Internet de millones de usuarios, generando estadísticas de uso y conducta de los usuarios, ¿no?

Resumiendo... ando con la mosca detrás de la oreja, sobre todo con que tengan su propia página de google calcada. A ver si alguien puede aclarar un poquito esta inquietud y desconfianza que tengo.

Un saludo y gracias.

En la página de openDNS

Enviado por anónimo el 25. Julio 2008 - 13:16.

En la página de openDNS busca la condiciones de uso y la política de privacidad y allí seguramente encontrarás la respuesta a tus preguntas. Así de fácil. Una pista, el servicio se financia gracias a la publicidad... al igual que Google. En cuánto a que registran los usos de navegación de los usuarios me has dejado preocupado. Creo que voy a volver a Google que no lo hace.

Opinar

Los comentarios publicados en este sitio expresan sólo la opinión de su autor, quien será el único responsable de los mismos. La publicación de cualquier comentario no supone en absoluto la conformidad del responsable de este sitio con su contenido.

Como norma general, en este sitio no se publican comentarios que incluyan datos personales, ni direcciones de correo, ni ninguna otra forma de establecer contactos privados o comerciales, así como comentarios que no aportan nada, fuera de tema o que no se ajustan a la netiqueta, la ortografía o la educación.

Para poder enviar tus comentarios has de permitir las cookies del sitio.

Por favor, escribe arriba el resultado de la operación planteada. Gracias.
  • Etiquetas HTML permitidas: <a> <em> <strong> <ul> <ol> <li> <p> <u> <br><strike> <blockquote> <div>

Más información sobre las opciones de formato...