Cuando visitamos cualquier sitio web el tráfico comienza a originarse desde nuestro ordenador, pasa por nuestro proveedor de Internet, luego por una serie de intermediarios hasta que llega al servidor de la web. Los DNS se encargan de generar una petición y resolver las direcciones para que no tengas que recordar direcciones IP y en su lugar solo un nombre de dominio.
Ahora, esa es la explicación más simple y corta posible de lo que pasa cuando escribimos algo como genbeta.com o google.com en el navegador. Si quieres una explicación más completa, una explicación extremadamente detallada, puedes leer lo que ha escrito Alex Gaynor en Github.
El pasado viernes los cimientos de Internet temblaron después de que un ataque DDoS realizado aprovechando la inseguridad del Internet de las cosas consiguiera dejar inoperativas páginas como Twitter, Paypal, Play Station Network o la CNN. El ataque se centró en una empresa proveedora de DNS llamada Dyn, y esa precisamente es la razón de que consiguiera afectarnos a tantos.
A quienes no tengan profundos conocimientos de informática puede que términos como DNS les suenen un poco a chino y por eso vamos a contar de manera sencilla por qué esta es una parte fundamental de Internet y por qué cuando se ataca a uno de sus proveedores pueden quedar inoperativas páginas y servicios tan importantes.
Actualización: Actualización 23 hora de España: la empresa afectada por el ataque, Dyn, reconoce que está viviendo un tercer DDoS y que parece provenir de Mirai botnet, una red de dispositivos IoT infectados y usados en otros ataques DDoS recientes
Actualización: Actualización 19:30 hora de España: Sony reconoce estar investigando problemas en su PSN y servicios de Google como Gmail parecen estar con problemas, por lo que podrían estar también afectados por este ataque DDOS.
Actualización 18:36 hora de España: apenas publicábamos este artículo y pocos minutos después Dyn reporta que está investigando un nuevo ataque DDoS. Mientras trabajan para solucionarlo, esta vez parece tener mayor alcance, pues desde España y Latinoamerica se empiezan a reportar fallos en varias de las webs que mencionamos.
En este mapa observamos las principales zonas afectadas por los ataques DDoS, principalmente en Estados Unidos
En horas de la mañana en los Estados Unidos varios sitios grandes como Twitter, Reddit y Spotify estuvieron completamente caídos o experimentando problemas. El responsable fue un ataque DDoS (Distributed Denial of Service) sobre los servidores de la empresa Dyn, un importante proveedor de DNS.
Webs como Github, AirBnB, Imgur, Paypal, Pinterest y muchos más, utilizan DynDNS como proveedor, lo que quiere decir que se encargan de dirigir las peticiones de tráfico de estos sitios. Todos estuvieron experimentando caídas parciales o totales por varias horas.
Seguro que muchos de vosotros sabéis de la existencia de OpenDNS. Alcanzó gran popularidad cuando el servicio de DNS no era prioritario para muchos operadores, provocando interrupciones en la navegación de sus usuarios. También fue relevante cuando comenzaron a realizarse los primeros bloqueos de páginas Web por DNS.
Y este servicio se financiaba, fundamentalmente, a través de anuncios que aparecían en nuestro navegador cuando no acertábamos con el nombre del dominio al que intentábamos acceder. Pues bien, ayer el CEO de OpenDNS anunció que esta guíadesaparecerá el próximo 6 de junio. De este modo esperan atraer más usuarios a su servicio, que actualmente sirve al 2% de internautas (según dicen ellos).
Desde hace unos cuatro años, varias personas se reúnen cada tres meses en las instalaciones de la ICANN en Estados Unidos para llevar a cabo una ceremonia realmente curiosa. Hasta ahora esto había pasado por debajo del radar, pero James Ball, periodista de The Guardian, pudo estar en una de esas ceremonias contando todo desde dentro.
La ceremonia es una versión más elaborada, compleja y segura de lo que hacemos con menor frecuencia de la que deberíamos: cambiar nuestras contraseñas. Esas siete llaves controlan la seguridad del sistema DNSSEC, uno de los puntos troncales para la seguridad en Internet - aunque no está todavía extendido por toda la red -.
Probablemente algunos de vosotros viérais anteayer que algo raro estaba pasando en algunas páginas. The New York Times estuvo caído, y algunas imágenes de Twitter no cargaban. ¿La razón? Un ataque del Ejército Electrónico Sirio a MelbourneIT, uno de los registradores de dominio más usados entre grandes organizaciones de Internet.
Entrando en las cuentas de MelbourneIT, los atacantes lograron cambiar los registros DNS de varias webs, de tal forma que apuntasen a sus propios servidores. Así visto parece un poco complicado, así que vamos a explicarlo mejor.
Genbeta está en el Mobile World Congress 2012 junto con otros compañeros de Weblogs SL. Hemos entrado en el recinto ferial de Barcelona, donde no hemos perdido el tiempo y hemos empezado a hablar con algunas personalidades que han pisado el recinto. La primera de ellas es ni más ni menos que Paul Mockapetris, considerado el inventor de la tecnología DNS y por lo tanto uno de los padres del internet moderno.
Un poco de teoría para refrescar conocimientos: DNS son las siglas de Domain Name System, el sistema que se encarga de asignar un nombre de dominio a una dirección determinada. Gracias a ese sistema no tenemos que sabernos complicadas direcciones llenas de números y directorios, sino que basta con un simple dominio (como por ejemplo www.genbeta.com) para acceder a cualquier sitio web de la red de redes.
Paul ha tenido la amabilidad de charlar con nosotros brevemente durante el primer día del Mobile World Congress acerca de su implicación con el DNS durante sus orígenes. Podéis leer la entrevista tras el salto.
Hace poco vimos que Google alcanzaba la friolera de setenta mil millones de peticiones diarias a través de su servicio de DNS público. Llama la atención cuando es algo prácticamente opcional: la inmensa mayoría de proveedores de Internet ofrece su propio servicio de DNS sin coste a sus usuarios. Y aun así muchos decidieron cambiar a OpenDNS y a las de Google.
¿Por qué? Pueden mejorar el rendimiento de la conexión. Según mi experiencia personal estos dos servicios son más rápidos reflejando cambios en las IP de los servidores a los que apuntan los dominios. Además, debemos añadir que muchos países realizan sus bloqueos a nivel de servidores DNS; utilizar otros servidores muchas veces nos permite ignorar ese bloqueo.
Pero vamos por partes. El objetivo de este artículo es explicaros a grandes rasgos lo que es el sistema DNS y cómo funciona, y mostraros que no es dificil cambiar los servidores DNS a los que hacéis vuestras peticiones, así como enseñaros la manera de hacerlo en Windows, OS X y Linux.
Nada más lejos de la realidad. Google Public DNS lleva más de dos años con nosotros y por lo visto ha sabido conquistar a una buena masa de usuarios, dado que las cifras que dan son de vértigo. Hablan de más de setenta mil millones de peticiones diarias, con un 70% del tráfico proveniente de fuera de los Estados Unidos.
Si queréis configurar vuestros ordenadores para que comiencen a usar los servidores DNS de Google, no lo dudéis y hacedlo. No es excesivamente difícil, sólo es cuestión de indagar un poco. Aun con todo, si no os atrevéis a hacerlo por vosotros mismos, no os preocupéis: muy pronto os explicaremos cómo hacerlo, paso por paso.
Las direcciones IP de los servidores DNS de Google son 8.8.8.8 y 8.8.4.4 (y si eres de los pocos que usa IPv6, 2001:4860:4860::8888 y 2001:4860:4860::8844).
OpenDNS es uno de los servicios DNS alternativos más usados en la red, que ha encontrado competencia con los DNS alternativos que Google también ofrece. Quizás por eso han decidido lanzar un servicio adicional de seguridad llamado DNSCrypt, con el objetivo de encriptar nuestro tráfico que pasa por el protocolo DNS añadido a las opciones de seguridad que ya estaban presentes en OpenDNS.
Según OpenDNS, DNSCrypt protege a los usuarios de ataques por parte de hackers, especialmente de los ataques de tipo man-in-the-middle. Todo ello encriptando el texto llano que pasa por los servidores DNS con un sistema de código abierto que ya está disponible en Github. El usuario sólo tiene que activar el servicio, DNSCrypt se encarga del resto sin complicaciones.
Por el momento DNSCrypt sólo está disponible para OS X en forma de versión preliminar, pero los responsables han prometido versiones para Windows y Linux que llegarán pronto. Si necesitas seguridad adicional para que nadie sepa por dónde navegas, es una opción más que interesante. Por supuesto, activar el servicio DNSCrypt hace que pasemos a usar las DNS de OpenDNS automáticamente.
