»Dangling Domains», o dominios colgantes: Una amenaza en crecimiento

Un estudio reciente afirma que una amenaza inadvertida (registros DNS colgantes) podría usarse fácilmente para el secuestro de dominios. Según el estudio, existen varios tipos de registros DNS colgantes y varias técnicas para explotarlos.

Un registro DNS es un puntero (para el nombre del registro de recursos o rrname) que apunta al recurso de red (en rdata). Cuando el recurso asociado se mueve o se quita, el registro DNS queda colgando y el rrname se llama dominio colgante (Dangling, en inglés).

El recurso liberado, o abandonado, podría potencialmente ser administrado por cualquier otra persona en lugar de los propietarios reales del rrname, este registro DNS pendiente se etiqueta como abierto al secuestro y puede, por lo tanto, conducir a un desastre o problema mayor.

Cuando se elimina cualquier recurso de red, su registro DNS correspondiente debe eliminarse de su zona DNS para garantizar la seguridad. Sin embargo, los propietarios de dominios generalmente se olvidan de eliminar, lo que genera registros DNS colgantes.

El estudio se centró en tres de esos registros: CNAME (un alias para el nombre canónico rdata), MX (el servidor de correo utilizado para aceptar correos electrónicos en nombre del dominio) y NS (un servidor de nombres autorizado).

Utilizando un detector de dominios colgantes, el estudio determinó alrededor de 317.000 dominios colgantes inseguros. Un análisis más detallado revela que de estos dominios colgantes, alrededor del 63,1% eran rdata caducados, el 36,9% eran de GitHub, mientras que alrededor del 0,1% eran de WordPress.

La distribución de los tipos de registros DNS reveló que la mayoría de estos registros eran CNAME (99,4%), mientras que un pequeño porcentaje eran NS (0,6%). No se detectó colgando en los registros MX.

Según el estudio, todos los días se consultan varios miles de dominios colgantes. Se detectaron dos picos el 6 y 12 de septiembre, causados ​​por un solo dominio vinculado a 11,000 subdominios colgantes únicos.

Los investigadores habían agregado los 317.000 dominios colgantes por TLD y luego presentaron los 60 TLD principales. El TLD superior es com, que representó alrededor del 55,2% de todos los dominios pendientes.
Se cree que los TLD gov / edu son zonas DNS bien administradas, aunque todavía representan 197 y 13 dominios colgantes.

Además, los investigadores comprobaron si los dominios colgantes son subdominios del millón de dominios principales de Tranco. Descubrieron que el 12% de los dominios se encuentran por debajo del millón de dominios principales, de los que 4.767 se encuentran entre los 2000 primeros puestos.