{"id":974,"date":"2026-03-05T15:53:01","date_gmt":"2026-03-05T07:53:01","guid":{"rendered":"https:\/\/www.ddosgj.com\/?p=974"},"modified":"2026-03-05T15:53:01","modified_gmt":"2026-03-05T07:53:01","slug":"como-evitar-el-secuestro-de-dns-con-chess-high-defence-cdn-multiples-lineas-dns-y-dnssec-para-asegurar-que-la-resolucion-no-se","status":"publish","type":"post","link":"https:\/\/www.ddosgj.com\/es\/974-html","title":{"rendered":"\u00bfC\u00f3mo evitar el secuestro de DNS con la CDN de alta defensa Chess? L\u00edneas Multi-DNS y DNSSEC para garantizar que la resoluci\u00f3n no se manipula con m\u00e9todos eficaces."},"content":{"rendered":"<p>Qu\u00e9 tan profundo es el agua en la industria del ajedrez, los que han participado en ella entender que los ataques DDoS son comunes, pero lo que hace que el cuero cabelludo de la gente entumecida es a menudo el tipo de trucos \u201csilenciosos\u201d - como el secuestro de DNS. Los jugadores, obviamente, introduzca la direcci\u00f3n de su sitio web oficial, pero los resultados fueron dirigidos a un sitio de phishing id\u00e9nticos, contrase\u00f1as de cuentas, cantidad de recarga al instante ser rastrillado. Esto es m\u00e1s repugnante que paralizar directamente el servicio, perteneciente al asesinato del coraz\u00f3n.<\/p>\n<p>Me com\u00ed este tipo de p\u00e9rdida en los primeros a\u00f1os. En ese momento, pens\u00e9 que la seguridad del servidor para hacer cubo de hierro en general, todo tipo de alta defensa, WAF pila llena, el resultado del atacante no toc\u00f3 mi servidor, desv\u00edo directo, en mi DNS parsing manipulaci\u00f3n. Los usuarios simplemente no pueden llegar a la puerta de mi servidor, a medio camino de ser secuestrado. Durante ese per\u00edodo de tiempo, las quejas fueron abrumadoras, todos dijeron que la recarga no lleg\u00f3, inicio de sesi\u00f3n anormal, y s\u00f3lo despu\u00e9s de medio d\u00eda de investigaci\u00f3n reaccionaron: el DNS fue envenenado.<\/p>\n<p>El DNS es la \u201cgu\u00eda telef\u00f3nica\u201d de Internet, responsable de traducir los nombres de dominio en direcciones IP. Sin embargo, el proceso de consulta DNS tradicional es b\u00e1sicamente en texto plano y carece de mecanismos de autenticaci\u00f3n - es como preguntar a una persona al azar en la calle por direcciones, y luego la otra persona te se\u00f1ala la direcci\u00f3n equivocada y t\u00fa ni siquiera lo sabes. Un secuestrador puede manipular los resultados de una consulta DNS en cualquier punto del proceso (cach\u00e9 local, resolver recursivo, servidor autoritativo).<\/p>\n<p>Especialmente en el negocio del ajedrez, la motivaci\u00f3n para atacar es demasiado fuerte. El secuestro por parte de bandas de chantaje es directamente rentable, y el secuestro por parte de los competidores puede arrebatarle sus usuarios. De hecho, he probado, incluso si s\u00f3lo un corto tiempo para resolver a la IP incorrecta, dentro de media hora puede perder una gran cantidad de usuarios activos y el flujo de recarga. No creas en la tonteria de \u201csolo usa DNS publicos\u201d, 8.8.8.8 y 114.114.114.114 siguen estando en riesgo de ser contaminados.<\/p>\n<p>Para prevenir realmente el secuestro de DNS, hay que empezar en dos niveles b\u00e1sicos: un<strong>Resoluci\u00f3n redundante de varias l\u00edneas DNS<\/strong>El otro es<strong>Verificaci\u00f3n de firma DNSSEC<\/strong>La combinaci\u00f3n de estas dos t\u00e1cticas equivale tanto a m\u00faltiples p\u00f3lizas de seguro para su dominio como a la verificaci\u00f3n de la huella digital del proceso de resoluci\u00f3n. La combinaci\u00f3n de estas dos t\u00e1cticas equivale tanto a m\u00faltiples p\u00f3lizas de seguro para su dominio como a una verificaci\u00f3n de la huella digital del proceso de resoluci\u00f3n.<\/p>\n<p>Empecemos por las l\u00edneas multi-DNS. Hoy en d\u00eda, es una apuesta arriesgada alojar servicios de resoluci\u00f3n con un solo proveedor. Mi estrategia actual es utilizar al menos dos o m\u00e1s proveedores de servicios DNS al mismo tiempo, y requerir una CDN de alta defensa para soportar el cambio de resoluci\u00f3n multil\u00ednea. Por ejemplo, utilizo CDN5 para la resoluci\u00f3n primaria, CDN07 para la resoluci\u00f3n de respaldo y otro 08Host para el respaldo. Tenga en cuenta que no se trata simplemente de configurar unos cuantos registros NS y ya est\u00e1, sino de configurar la<strong>Prioridades y controles de salud<\/strong>\u3002<\/p>\n<p>Tomando la configuraci\u00f3n de CDN5, yo configurar\u00eda la automatizaci\u00f3n de la conmutaci\u00f3n por error en su consola:<\/p>\n<p>Esta configuraci\u00f3n significa que la l\u00ednea DNS principal har\u00e1 una comprobaci\u00f3n de salud cada 30 segundos, y si la prueba falla 2 veces consecutivas, cambiar\u00e1 autom\u00e1ticamente a la l\u00ednea de respaldo. En la prueba real, incluso si la l\u00ednea principal es secuestrada o contaminada, la l\u00ednea de reserva puede mantener la resoluci\u00f3n normal. Pero el n\u00facleo de la multil\u00ednea es<strong>servicio heterog\u00e9neo<\/strong>-No te decantes por varias marcas de la misma empresa, que es probable que compartan infraestructura y lo cuelguen todo junto.<\/p>\n<p>Sin embargo, las l\u00edneas m\u00faltiples son s\u00f3lo \u201credundancia\u201d, no protecci\u00f3n contra la \u201cmanipulaci\u00f3n\u201d. Lo que realmente puede evitar la falsificaci\u00f3n de resoluciones desde la ra\u00edz es DNSSEC (Domain Name System Security Extensions). Utiliza el cifrado asim\u00e9trico para firmar digitalmente los registros DNS, y el servidor recursivo verifica que la firma coincide antes de devolver el resultado de la resoluci\u00f3n. Si la firma no coincide, significa que el registro ha sido manipulado y la respuesta ser\u00e1 rechazada directamente.<\/p>\n<p>Instalar DNSSEC es un poco m\u00e1s complicado, pero merece la pena. Primero hay que activar el soporte DNSSEC en el registrador de dominios (algunos proveedores nacionales lo ocultan un poco m\u00e1s, hay que buscar el servicio de atenci\u00f3n al cliente para abrirlo), y luego generar pares de claves:<\/p>\n<p>Tras la generaci\u00f3n, se obtienen las claves p\u00fablica y privada, la clave privada se guarda para uno mismo y la clave p\u00fablica debe cargarse en la consola DNS y a\u00f1adirse al registro DS (Delegation Signer) del nombre de dominio. El registrador debe enviar el registro DS al registro del dominio de nivel superior (por ejemplo, .com). La autenticaci\u00f3n encadenada completa est\u00e1 configurada.<\/p>\n<p>Pero DNSSEC tiene un escollo: no todas las CDN lo soportan perfectamente. Con el fin de ahorrar recursos, algunos servidores recursivos CDN de alta defensa de peque\u00f1o tama\u00f1o no verifican en absoluto las firmas DNSSEC. He pisado la mina, y sin duda utilizar\u00e9 el comando dig para comprobarlo cuando elija un modelo m\u00e1s adelante:<\/p>\n<p>Si hay una bandera `ad` (datos aut\u00e9nticos) en el resultado devuelto, significa que el nodo CDN soporta completamente la autenticaci\u00f3n DNSSEC. Actualmente, CDN5 y 08Host tienen el soporte DNSSEC m\u00e1s estable, y CDN07 es ocasionalmente perezoso en algunos nodos de borde sin verificaci\u00f3n.<\/p>\n<p>Adem\u00e1s de las herramientas t\u00e9cnicas, hay que quedarse atr\u00e1s a nivel empresarial. He hecho que las p\u00e1ginas cr\u00edticas para el negocio (por ejemplo, las de recarga)<strong>Comprobaci\u00f3n de la resoluci\u00f3n secundaria<\/strong>El cliente, despu\u00e9s de adquirir una IP por primera vez, verifica que la IP es leg\u00edtima a la inversa a trav\u00e9s de un canal cifrado hacia el servidor comercial. Si es secuestrada, al menos alertar\u00e1 y bloquear\u00e1 la transacci\u00f3n a tiempo. El nivel de c\u00f3digo tiene el siguiente aspecto:<\/p>\n<p>Por \u00faltimo, para ser honesto, la esencia de la seguridad de DNS es la cadena de confianza, y CDN de alta defensa en este anillo no debe arrastrar el pie. Debo mirar tres puntos al seleccionar: si para apoyar el acceso de m\u00faltiples proveedores de DNS, si todo el nodo para abrir la autenticaci\u00f3n DNSSEC, si la resoluci\u00f3n de anomal\u00edas en las alarmas en tiempo real. Los que ni siquiera le permiten configurar el registro DS proveedores CDN, directamente pasar.<\/p>\n<p>El propio sector del ajedrez es delicado, y los atacantes siempre buscan deficiencias. La defensa del servidor es de nuevo dif\u00edcil, y la fuga de DNS tambi\u00e9n en vano. An\u00e1lisis sint\u00e1ctico multil\u00ednea + DNSSEC + verificaci\u00f3n de la capa de negocio, estos tres ejes hacia abajo, no quiere decir a prueba de tontos, pero al menos puede hacer que 99% bandas de secuestradores de DNS tomar la iniciativa para eludir. El resto de la 1%, que puede tener que ser superado f\u00edsicamente.<\/p>\n<p>Ah, s\u00ed, y mide regularmente la salud de la resoluci\u00f3n de tu dominio con herramientas como `dnsviz.net` o `cloudflare-dns.com\/check`. No esperes a que los usuarios se quejen: hoy en d\u00eda, incluso las CDN tienen que ser \u201ca prueba de mate\u201d.<\/p>","protected":false},"excerpt":{"rendered":"<p>Qu\u00e9 tan profundo es el agua en la industria del ajedrez, los que han participado en ella entender que los ataques DDoS son comunes, pero lo que hace que el cuero cabelludo de la gente entumecida es a menudo el tipo de trucos \u201csilenciosos\u201d - como el secuestro de DNS. Los jugadores, obviamente, introduzca la direcci\u00f3n de su sitio web oficial, pero los resultados fueron dirigidos a un sitio de phishing id\u00e9nticos, contrase\u00f1as de cuentas, cantidad de recarga al instante ser rastrillado. Esto es m\u00e1s repugnante que la par\u00e1lisis directa del servicio, perteneciente al asesinato del coraz\u00f3n. Com\u00ed este tipo de p\u00e9rdida en mis primeros a\u00f1os. En ese momento, pens\u00e9 que la seguridad del servidor para hacer cubo de hierro en general, una variedad de alta defensa, WAF apilados completa, los resultados de los atacantes simplemente no toc\u00f3 mi servidor, un desv\u00edo directo, en mi DNS parsing manipulaci\u00f3n. Los usuarios simplemente no pueden llegar a la puerta de mi servidor, a medio camino de ser secuestrado. Durante ese tiempo, las quejas fueron abrumadoras, todos ellos dijeron que la recarga no lleg\u00f3, iniciar sesi\u00f3n de forma anormal.<\/p>","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"gallery","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","footnotes":""},"categories":[150],"tags":[],"collection":[],"class_list":["post-974","post","type-post","status-publish","format-gallery","hentry","category-updates","post_format-post-format-gallery"],"_links":{"self":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts\/974","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/comments?post=974"}],"version-history":[{"count":1,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts\/974\/revisions"}],"predecessor-version":[{"id":1151,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts\/974\/revisions\/1151"}],"wp:attachment":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/media?parent=974"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/categories?post=974"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/tags?post=974"},{"taxonomy":"collection","embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/collection?post=974"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}