dns spoofing
Post on 27-Dec-2015
139 Views
Preview:
TRANSCRIPT
2014
JAIME LUIS TORRES FLÓREZ
DARWIN GRANADOS GUILLEN
Universidad de Pamplona
6-5-2014
ATAQUE DNS SPOOFING
INTRODUCCIÓN
En esta guía lo que se pretende es clonar una pagina web (www.faecebook.com) a través
de dns spoofing, en una máquina virtual con el sistema operativo Kali linux, en la que se
pretende que la víctima (máquina virtual con Windows XP) realice una petición de logueo
al sitio que para este caso es Facebook con el propósito de obtener los datos de ingreso
de la persona
OBJETIVOS
Clonar la página de Facebook
Interceptar la petición dns que realice la víctima y facilitarle nuestro sitio clon
Obtener el usuario y la contraseña de la victima
MARCO TEÓRICO
DNS (Domain Name System): Es una base de datos distribuida, con información que se
usa para traducir los nombres de dominio, fáciles de recordar y usar por las personas, en
números de protocolo de Internet (IP) que es la forma en la que las máquinas pueden
encontrarse en Internet.
Spoofing: En términos de seguridad de redes hace referencia al uso de técnicas de
suplantación de identidad generalmente con usos maliciosos o de investigación.
DNS Spoofing: Suplantación de identidad por nombre de dominio. Se trata del
falseamiento de una relación "Nombre de dominio-IP" ante una consulta de resolución de
nombre, es decir, resolver con una dirección IP falsa un cierto nombre DNS o viceversa.
Esto se consigue falseando las entradas de la relación Nombre de dominio-IP de un
servidor DNS, mediante alguna vulnerabilidad del servidor en concreto o por su confianza
hacia servidores poco fiables. Las entradas falseadas de un servidor DNS son
susceptibles de infectar (envenenar) el cache DNS de otro servidor diferente (DNS
Poisoning).
Ettercap: es su núcleo es un sniffer de paquetes que utiliza varios plug-in para hacer los
diversos ataques que puede realizar. Ettercap tiene una gran cantidad de funcionalidades
más allá de la falsificación de DNS y se utiliza en muchos tipos de ataques MITM. Cuenta
con una interfaz gráfica y una interfaz de línea de comandos.
Kali Linux: Es la nueva generación de la distribución Linux BackTrack para realizar
Auditorías de Seguridad y Pruebas de Penetración. Kali Linux es una plataforma basada
en GNU/Linux Debian y es una reconstrucción completa de BackTrack, la cual contiene
una gran cantidad de herramientas para capturar información, identificar vulnerabilidades,
explotarlas, escalar privilegios y cubrir las huellas.
HERRAMIENTAS
Kali Linux (VMWare Workstation) (atacante)
1. DNS Spoofing
2. Clone Site Attack
3. Ettercap
Windows Xp Sp3 (VMWare Workstation) (Victima)
DNS SPOOFING
Figura 1. Esquema de
A continuación, utilizaremos una herramienta de Ingeniería Social, llamada Setoolkit.
Abrimos una terminal y ejecutamos el siguiente comando setoolkit, en ella
seleccionaremos las siguientes opciones respectivamente: 1, 2, 3 y 2 (ver figuras 2, 3, 4 y
5).
Figura 2.
Figura 3.
Figura 4.
Figura 5.
Tras esto nos pedirá la IP del atacante, es decir nuestra IP que tiene Kali Linux (en este
caso la IP es 192.168.158.130).
Figura 6.
A continuación nos va pedir la dirección del sitio web que queremos clonar. En nuestro
caso elegimos Facebook.
Figura 7.
Ahora esperamos hasta que aparezca el mensaje en azul, y dejamos quieta esta ventana
(solo la minimizamos)
Figura 8.
Para comprobar que realmente se ha clonado, basta con poner en el navegador (de la
maquina víctima o de la misma maquina Kali Linux) nuestra IP (la IP de Kali Linux
192.168.158.130) y nos saldrá nuestro sitio clon.
Figura 9.
Ya solo nos queda un pequeño ajuste para que la víctima, cuando acceda a
www.facebook.com, sea reedireccionada a nuestro sitio. Abrimos una nueva terminal para
editar el archivo /etc/ettercap/etter.dns y poder añadir estas tres líneas siguientes:
www.facebook.es A IP_destino
*.facebook.* A IP_destino
www.facebook.es PTR IP_destino
IP_destino es nuestra IP de Kali Linux 192.168.158.130. Con estas tres líneas anteriores,
diremos que todo lo que vaya a Facebook lo redireccione a nuestra IP.
Figura 10.
Ya guardado el archivo anterior, nos falta ejecutar un último comando:
ettercap -T -q -M arp -i eth0 -P dns_spoof //
Figura 11.
Ahora nos dirigimos a la maquina víctima (Windows Xp), abrimos el navegador y
entramos a www.facebook.com. Si vemos bien, estaríamos entrando a la página clonada
del Facebook, y allí ingresaremos un correo y una contraseña para tratar de ingresar.
Aquí hemos ingresado un correo y una contraseña falsa:
Correo: prueba@hotmail.com
Contraseña: prueba123456
Figura 12.
Una vez hecho lo anterior veremos que la página del Facebook no ha podido establecer
una conexión, esto se debe a que no hemos hecho ninguna conexión con el servidor del
Facebook original.
Figura 13.
Nuevamente volvemos a la máquina de Kali Linux y maximizamos la ventana del terminal
de la figura 8 que habíamos dejado minimizada desde un principio. Aquí se puede
apreciar los datos que acabábamos de ingresar desde la maquina victima (Windows Xp).
CONCLUSIONES
Como hemos visto a lo largo del procedimiento estos ataques pueden ser desde una simple práctica a serios ataques que implican el robo de datos o que recolectan ordenadores con fines delictivos. Otro factor que se puede observar es que ningún sistema operativo está a salvo de estos ataques. Existe la creencia de solo Windows es atacado por malware, de que OS X y GNU/Linux son inmunes a este factor, el problema es que esto es totalmente falso. Podemos decir que estos ataques son peligrosos y reales, pero como todo ataque, este puede fallar sino se dan las condiciones necesarias. En esta guía se ha intentado mostrar de forma lo más instructiva posible los ataques existentes con la idea de conocerlos ya que algún día es posible que lidiemos con ellos.
BIBLIGRAFIAS
http://lahackcueva.blogspot.com/2013/12/dns-spoofing-clone-site-attack.html
http://kalilinuxspain.blogspot.com/2013/04/dns-spoof-con-ettercap-en-kali-linux.html
http://www.youtube.com/watch?v=pmGgAI9O5a0
http://losindestructibles.wordpress.com/2011/09/30/dns-poisoning-spoofing/
http://es.wikipedia.org/wiki/Spoofing
top related