Tabela de conteúdo

O que é o Dangling DNS?

Tabela de conteúdo

Para entender o dangling DNS, o senhor precisa entender os princípios básicos do DNS. O DNS é um protocolo que traduz nomes de domínio fáceis de usar, como paloaltonetworks.com, que é fácil de lembrar e reconhecer, para um endereço IP numérico. Os endereços IP de cada domínio são armazenados em servidores DNS autorizados, que funcionam como as listas telefônicas da Internet. Quando o senhor digita o endereço de um site em um navegador, ele primeiro se conecta a um servidor DNS recursivo e faz a pergunta: "Qual é o endereço IP de paloaltonetworks.com?" O servidor DNS recursivo envia uma consulta ao servidor autoritativo para obter a resposta.

 

O que é um CNAME

Os tipos comuns de registros armazenados em um servidor autoritativo de DNS são Start of Authority (SOA), endereços IP, servidores de nomes (NS), ponteiros para pesquisas reversas de DNS (PTR) e registros de nomes canônicos (CNAME).

Um CNAME é um tipo de registro de banco de dados DNS que atua como um alias para outro domínio e aponta para um domínio em vez de um endereço IP. Os registros CNAME são normalmente usados para apontar vários sites de propriedade da mesma organização para um site principal, registrar os mesmos domínios em diferentes países para que cada domínio aponte para o domínio pai e muito mais.

Vamos supor que sua empresa, com o domínio supercompany[.]com, lance um novo serviço ou produto e crie um novo subdomínio com o nome superproduct[.]supercomany[.]com. Quando esse subdomínio é definido como um alias para o domínio pai, que todos reconhecem, o subdomínio, superproduct[.]supercomany[.]com, terá um registro CNAME que aponta para supercompany[.]com.

 

DNS pendente

Embora os registros DNS apontem os nomes de domínio para outros domínios, quando um domínio é abandonado, esse registro DNS é deixado pendente, onde agora é chamado de registro DNS pendente. Por ser abandonado, esse domínio pode ser facilmente sequestrado por atores de ameaça e usado para obter acesso inicial a uma rede. Os invasores costumam usar essa técnica de Dangling DNS para phishing e outros ataques de engenharia social. Por exemplo, digamos que superproduct.supercomany.com esteja apontado para outro domínio, como superproduct.com, ou para um host ou IP externo, como compute1234.amazonaws.com, e a empresa se afasta do nome superproduct.com ou do nó de computação que o hospeda, mas esquece que o CNAME superproduct.supercomany.com ainda está apontado para o domínio que está expirando ou para o hostname/IP externo. Isso significa que o domínio principal supercomany.com é o principal para os invasores hospedarem seus sites maliciosos. Um hacker pode instalar um certificado SSL com superproduct.supercomany.com e fornecer conteúdo malicioso às custas da reputação da empresa.

Para saber mais sobre a segurança de DNS da Palo Alto Networks, visite https://www.paloaltonetworks.com.br/network-security/advanced-dns-security. Para obter mais informações sobre o Dangling DNS, leia nosso blog, Dangling Domains: Ameaças à segurança, detecção e prevalência.

 

Perguntas frequentes sobre DNS suspenso

Os registros DNS pendentes podem representar riscos significativos à segurança porque apontam para domínios ou serviços que não são mais válidos ou que não estão sob o controle do proprietário do domínio. Os invasores podem explorar esses registros registrando domínios expirados, obtendo controle sobre subdomínios e usando-os para interceptar tráfego, roubar dados confidenciais, realizar ataques de phishing ou distribuir malware. Isso pode resultar em acesso não autorizado a sistemas, violações de dados ou falsificação de identidade de serviços legítimos.
Uma tomada de controle de subdomínio ocorre quando um invasor obtém controle sobre um subdomínio ainda ativo nos registros de DNS, mas que aponta para um recurso que não está mais sob o controle do proprietário do domínio. Registros DNS pendentes, especialmente os registros CNAME ou MX, geralmente levam a aquisições de subdomínios. Por exemplo, suponha que um registro CNAME aponte para um serviço externo desativado. Nesse caso, um invasor pode registrar esse domínio externo e sequestrar o subdomínio, permitindo que ele hospede conteúdo malicioso ou intercepte comunicações destinadas ao domínio legítimo.
As organizações podem se proteger auditando e atualizando regularmente seus registros DNS para remover qualquer um que não seja mais necessário ou que aponte para recursos desativados. Eles também devem implementar medidas de segurança, como a habilitação do DMARC (Domain-based Message Authentication, Reporting, and Conformance) e do DKIM (DomainKeys Identified Mail) para autenticação de e-mail, o que pode ajudar a evitar o uso indevido de registros DNS em ataques de phishing ou spoofing. Além disso, o uso de registros de alias de DNS vinculados a recursos ativos pode evitar a ocorrência de referências pendentes.
As vulnerabilidades de DNS pendentes podem ser exploradas de várias maneiras, como por meio de registros MX de DNS que apontam para domínios expirados, permitindo que os invasores interceptem e-mails ou usem o domínio para campanhas de phishing. Da mesma forma, os invasores podem direcionar os registros CNAME não utilizados para assumir o controle de subdomínios e hospedar conteúdo malicioso. As organizações com vários domínios e subdomínios devem prestar muita atenção a esses registros para evitar o uso não autorizado.
Registros DNS pendentes preocupam organizações de todos os tamanhos, de startups a grandes empresas. Embora as grandes organizações possam ter infraestruturas de DNS mais extensas e, portanto, um risco maior de registros esquecidos, até mesmo as pequenas empresas podem ser alvo se seus registros de DNS não forem gerenciados adequadamente. O monitoramento e a manutenção regulares das entradas de DNS são essenciais para reduzir esse risco, independentemente do tamanho da organização.
Conteúdo relacionado
Proteja sua rede com segurança avançada de DNS
Saiba como proteger sua rede contra ataques, evitar violações de dados e garantir um gerenciamento de segurança contínuo.
Vídeo: Segurança avançada de DNS da Palo Alto Networks
Elimine as ameaças à camada de DNS com a solução de segurança de DNS mais abrangente do setor.
Documento técnico sobre segurança avançada de DNS
Proteja automaticamente seu tráfego DNS com o Precision AI, uma plataforma de análise baseada em nuvem.
Descubra a segurança avançada do DNS
Impeça ataques de sequestro de DNS em tempo real com a segurança de DNS avançada da Palo Alto Networks com Precision AI.

Receba as últimas notícias, convites para eventos e alertas de ameaças