Empieza a ocurrir lo que nos temíamos: ya han publicado varios exploits para la vulnerabilidad DNS. Como dicen en Kriptópolis, «el genio está fuera de la botella», y muchos servidores siguen sin estar parcheados.
También tenemos nuevas herramientas para comprobar si un servidor es seguro o no, aparte de la herramienta del blog de Kaminsky, que ya citamos. Y, sobre todo, insito en utilizar OpenDNS cuanto antes (recuerda los pasos para configurar tu ordenador).
Para utilizar las nuevas herramientas de comprobación, podéis encontrar un listado de DNS de los diferentes ISP españoles en la siguiente dirección: http://bandaancha.eu/analizador-dns. Y basta con seguir los pasos que se detallan a continuación.
Nota: Los ejemplos están puestos para comprobar el DNS de Ya.com, cuya IP es 62.151.2.65. Para comprobar otro servidor, basta con cambiar esta IP por la correspondiente.
En Windows
Vamos a Inicio > Ejecutar, tecleamos cmd y pulsamos Enter. En la consola, introducimos el siguiente comando:
[code lang=»plain»]nslookup -type=txt -timeout=30 porttest.dns-oarc.net 62.151.2.65[/code]
La salida obtenida será parecida a la siguiente:
[code lang=»plain»]z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
"62.151.2.8 is POOR: 26 queries in 4.4 seconds from 1 ports with std dev 0.00"[/code]
Hago notar el «POOR». Si nuestro servidor es seguro, la salida será parecida a la siguiente (para el caso de OpenDNS):
[code lang=»plain»]z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
"208.69.34.10 is GOOD: 26 queries in 4.1 seconds from 26 ports with std dev 18417.55"[/code]
En Linux
Es necesario tener instalado previamente el paquete bind-utils de nuestra distro. Una vez instalado, abrimos una consola y tecleamos lo siguiente:
[code lang=»plain»]dig +short @62.151.2.65 porttest.dns-oarc.net txt[/code]
La salida será análoga a lo comentado en el apartado de Windows.