Ok, ya les conté cómo venía la mano del ataque descubierto por Dan Kaminsky, muchos links a diversas fuentes de exploits, y sitios donde verificar si sus DNS están seguros o son vulnerables.
Ahora les traigo desde HowtoForge.com un tutorial para parchear BIND9 y evitar este tipo de ataque.
Ante todo: el artículo original en ingles es de Falko Timme <ft [at] falkotimme [dot] com>.
[1] Verificar su nuestro BIND es vulnerable.
Ejecuten este comando contra sus servidores de nombres para ver si son vulnerables (reemplazar ns1.ejemplo.com por sus correspondientes servidores):
dig +short @ns1.ejemplo.com porttest.dns-oarc.net TXT
# dig +short @ns1.example.com porttest.dns-oarc.net TXT
z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
“1.2.3.4 is POOR: 26 queries in 4.4 seconds from 1 ports with std dev 0.00″
Si les devuelve POOR, significa que BIND es vulnerable. Si es el caso, tienen que parchear BIND.
Si no reciben ninguna respuesta, significa que su server de DNS no resuelve recursivamente, lo que significa que no responde consultas para dominios para los que no es autoridad. En este caso no son vulnerables al cache poisoning, pero de todas formas les sugiero que realmente parcheen BIND.
[2] Parchear BIND.
