Los servidores DNS guardan en caché todas las peticiones DNS que resuelven durante el tiempo que indica el SOA (Start of Authority) del dominio. Existe la posibilidad de configurar servidores llamados de "solo caché" (caching only) que simplemente resuelven las peticiones mediante reenviadores (forwarders) o realizando consultar recursivas a través de sugerencias de raíz (root hints) y que por tanto ni contienen ni tienen autoridad para ninguna zona. Pueden ser útiles en estrategias de resolución de nombres de Internet donde nuestras comunicaciones sean lentas, por un lado no desperdiciaremos trafico con transferencias de zona y por otro ahorraremos trafico gracias al caché ya que muchas consultas a servicios usados habitualmente se resolverán sin necesidad de generar ningún trafico WAN. También representan una buena manera de quitar carga de trabajo a los servidores de DNS que contienen las zonas del directorio activo si los configuramos como reenviadores de estos para resolver los nombres de Internet en lugar de confiar en los servidores de nuestro ISP.
Uno de los ataques mas comunes vía DNS que se producen son los conocidos como
envenenamientos de caché (cache poisoning)que consisten en la introducción de registros erróneos en la caché de los servidores DNS mediante diferentes técnicas. En Windows disponemos de una opción en las
propiedades del servidor DNS llamada
Asegurar caché contra corrupción (prevent cache pollution) que evita que el servidor sea victima de este tipo de ataques, esta opción viene activada por defecto en Windows Server 2003 mientras que en Windows 2000 habrá de ser activada manualmente.
Categorias: 