DNS Inverso

El análisis de DNS inverso cubre cinco áreas principales: • Registros PTR — El registro PTR (Pointer) mapea una dirección IP a un nombre de dominio. Es el inverso de un registro A. Por ejemplo, la IP 8.8.8.8 tiene el PTR dns.google. Los registros PTR se configuran por el propietario del bloque IP (generalmente el ISP o proveedor de hosting) y son esenciales para la verificación de servidores de correo. • Forward Confirmed reverse DNS (FCrDNS) — Después de resolver el PTR, la herramienta verifica que el hostname obtenido resuelva de vuelta a la IP original. Si la IP 1.2.3.4 tiene PTR mail.ejemplo.com, y mail.ejemplo.com resuelve a 1.2.3.4, el FCrDNS es válido. Esta verificación bidireccional es un mecanismo de confianza usado por servidores de correo, firewalls y sistemas anti-spam. • Información de la IP — Geolocalización (país, región, ciudad, coordenadas, zona horaria), datos de red (ISP, organización, sistema autónomo ASN), y clasificación (móvil, proxy/VPN, hosting/datacenter). Utiliza la API de ip-api.com. • Registros DNS adicionales — Para cada hostname PTR, consulta los registros A, AAAA, MX, NS y TXT asociados. Esto proporciona contexto sobre el dominio al que pertenece la IP. • Verificación DNSBL — Comprueba la IP contra 12 listas negras DNS populares para evaluar su reputación. Las DNSBLs son usadas por servidores de correo y firewalls para bloquear IPs con historial de spam, malware o abuso.

La herramienta consulta 12 proveedores de listas negras DNS: • Spamhaus ZEN — La lista más referenciada del mundo. Combina SBL (spammers conocidos), XBL (proxies abiertos, botnets) y PBL (rangos de IPs dinámicas de ISPs que no deberían enviar correo directamente). • SpamCop — Basada en reportes de spam de usuarios en tiempo real. Las IPs se listan y deslistan automáticamente según la actividad reciente. • Barracuda BRBL — Mantenida por Barracuda Networks. Lista IPs que envían spam a sus honeypots y redes de clientes. • SORBS — Spam and Open Relay Blocking System. Mantiene listas separadas para open relays, proxies abiertos, spam y hosts zombie. • UCEPROTECT Level 1 — Lista IPs individuales con evidencia directa de envío de spam o abuso. • CBL (Composite Blocking List) — Especializada en detectar bots, troyanos y proxies que envían spam sin conocimiento del usuario. • DroneRL — Detecta hosts comprometidos (drones/zombies) que forman parte de botnets. • S5H.net, Woody, WPBL, Abuse.ch, Invaluement — Listas adicionales con diferentes metodologías y fuentes de datos. La reputación se clasifica como: Limpia (0 listas), Sospechosa (1-2 listas), En lista negra (3+ listas).

El DNS inverso es crítico en varios contextos: 1. Entrega de correo electrónico — Los servidores de correo como Gmail, Outlook y Yahoo verifican que el IP del servidor remitente tenga un PTR válido y FCrDNS coherente. Sin PTR, los correos tienen alta probabilidad de ser rechazados o marcados como spam. 2. Seguridad y auditoría — Los logs de servidores web, firewalls y sistemas de detección de intrusiones registran IPs. El DNS inverso permite identificar rápidamente el origen de las conexiones sin consultas manuales. 3. Verificación de identidad — Servicios como SSH y FTP pueden verificar el DNS inverso del cliente como capa adicional de autenticación. Si el PTR no coincide con el DNS directo, la conexión puede ser rechazada. 4. CDN y servicios cloud — Los proveedores de CDN y cloud configuran PTR records para sus rangos IP, facilitando la identificación del proveedor detrás de una IP. 5. Investigación y OSINT — El DNS inverso revela información sobre la infraestructura detrás de una IP: proveedor de hosting, tipo de servicio, y potencialmente el cliente que utiliza esa IP.