INTRODUCCIÓN
El método denominado DNS Spoofing hace referencia a la técnica de suplantar la identidad IP por un nombre de dominio DNS, o viceversa.
Basándose en algún tipo de vulnerabilidad de un servidor, o bien a través de servidores poco confiables, el virus falsea las entradas del Nombre de dominio e IP de un servidor DNS, mediante lo cual logra su cometido, que no es otro que infectar el caché DNS de otro servidor diferente, lo que se conoce como DNS Poisoning, es decir envenenamiento de DNS.
CONCEPTOS BÁSICOS
DNS (Domain Name System): Es una base de datos distribuida, con información que se usa para traducir los nombres de dominio, fáciles de recordar y usar por las personas, en números de protocolo de Internet (IP) que es la forma en la que las máquinas pueden encontrarse en Internet.
Spoofing: En términos de seguridad de redes hace referencia al uso de técnicas de suplantación de identidad generalmente con usos maliciosos o de investigación.
DNS Spoofing: Todas las consultas DNS que se envían a través de la red contienen un número de identificación único generado con el propósito de identificar las preguntas y respuestas y atarlas. Esto significa que si nuestro equipo atacante puede interceptar una consulta DNS enviada desde un dispositivo destino, todo lo que tenemos que hacer es crear un paquete falso que contiene ese número de identificación a fin de que el paquete sea aceptado por ese objetivo.
Vamos a completar este proceso haciendo dos pasos con una sola herramienta. En primer lugar, vamos a envenenar la caché ARP del dispositivo de destino para redirigir su tráfico a través de nuestra máquina atacante para poder interceptar las petición DNS, a continuación, que en realidad le enviará el paquete falso. El objetivo de este escenario es para que los usuarios de la red de destino revisen nuestro sitio web malicioso en lugar de la página web que está intentando acceder.
Una representación de este ataque se ve en el siguiente gráfico:
DNS Spoofing es una técnica MITM utilizada para suministrar información falsa a un host DNS para cuando se intenta examinar, por ejemplo, en el www.bp.fin.ec XXX.XXX.XX.XX dirección IP que se envíen en una falsa www.bp.fin.ec YYY.YYY.YY.YY dirección IP que el atacante ha creado con el fin de robar las credenciales de banca en línea e información de cuentas de usuarios desprevenidos. Esto en realidad se hace con bastante facilidad y aquí vamos a ver cómo se hace y cómo funciona.
DNS poisoning: El concepto de envenenamiento de la cache DNS es muy simple. El servidor DNS del usuario, envía una petición a un DNS autoritativo preguntando por la IP que coincida con el nombre solicitado. Pero ¿qué sucede si un atacante contesta suplantando al DNS autoritativo y devuelve una IP falsa?
Si esto sucede, el DNS del usuario devolverá al mismo una dirección IP falsa asociada al nombre que el usuario solicita, dirigiendo su petición a un servidor que no es el que el usuario quiere acceder, es más, la entrada falsa obtenida permanecerá en la cache del servidor DNS durante un tiempo determinado en el campo TTL enviado por el atacante, para ofrecer la misma respuesta a todos aquellos usuarios que quieran acceder al mismo nombre.
Esto es lo que se conoce como envenenamiento de la cache de los servidores DNS.
Ettercap: Hay algunas herramientas diferentes disponibles que se pueden utilizar para llevar a cabo la falsificación de DNS. Vamos a utilizar Ettercap, que tiene versiones en Windows y Linux.
Ettercap tiene una gran cantidad de funcionalidades más allá de la falsificación de DNS y se utiliza en muchos tipos de ataques MITM. Cuenta con una interfaz gráfica y una interfaz de línea de comandos.
Ettercap es su núcleo es un sniffer de paquetes que utiliza varios plug-in para hacer los diversos ataques que puede realizar. El dns_spoof plug-in es el que va a hacer el ataque en este ejemplo.
Plugin dns_spoof: Haciendo uso de ettercap se captura el tráfico del equipo víctima y con la ayuda del plugin dns_spoof vamos a redireccionarlo a un sitio distinto al que está solicitando.
HERRAMIENTAS USADAS:
- Ubuntu 9.10 (VMWare Workstation) (víctima)
- BackTrack 4 (VMWare Workstation) (atacante)
- Ettercap + Plugin dns_spoof
- Apache Web Server
ESCENARIO:
- Victima realiza la petición al sitio www.google.com.
- La petición es capturada por el atacante (MITM+dns_spoof).
- Ettercap verifica en archivo etter.dns la petición google.com.
- Ettercap redirecciona la petición www.google.com al sitio 69.171.228.13 (www.facebook.com).
MÁQUINAS:
- 192.168.235.131 a Víctima a Ubuntu 9.10(VMWare Workstation)
- 192.168.235.128 a Atacante a BackTrack 4 (VMWare Workstation)
- 192.168.235.2 a Gateway
PROCESO:
- Modificar el archivo etter.dns ubicado en /usr/share/ettercap.
- Levantar nuestro servidor http (Apache) para recibir la petición del equipo víctima y mostrar nuestro sitio en vez del verdadero.
- Hacer MITM “Victima < — > Atacante < — > Gateway”.
- Cargar el plugin dns_spoof.
DEMOSTRACIÓN DEL PROCESO:
1. Modificar el archivo etter.dns ubicado en /usr/share/ettercap
Listamos los archivos con el comando ls y revisamos que esté el archivo etter.dns.
Instalamos gedit con el comando apt-get install gedit.
Una vez instalado el gedit nos colocamos nuevamente en la ruta /usr/share/ettercap y escribimos el comando sudo gedit etter.dns.
Se nos abrirá un archivo donde escribiremos la página a la que el usuario va a hacer la petición y la ip de la página a la que se lo va a redireccionar.
En este caso la página a la que el usuario va a querer acceder es google.com y se la va a redireccionar a la ip 69.171.228.13 de facebook.com.
Nota: Tenemos que hacerle ping a la página de facebook para obtener la ip.
2. Levantar nuestro servidor http (Apache) para recibir la petición del equipo víctima y mostrar nuestro sitio en vez del verdadero.
Nos dirigimos a:
- Service
- HTTPD
- Start HTTPD.
Y damos OK.
- View
- Page Source
Y se abrirá un archivo q contiene el código de la página.
Lo pegamos en el archivo index.html y guardamos.
3. Hacer MITM “Victima < — > Atacante < — > Gateway”
Nos dirigimos a:
- System
- ettercap – Ettercap
Se abre una ventana donde vamos a escoger la opción:
- Sniff
- Unified sniffing
Escogemos en la pestaña eth0 y damos OK.
Luego elegimos:
- Target
- Current Targets
Escogemos:
- Hosts
- Primero escaneamos con Scan for hosts
- Y luego listamos con Hosts list
Nos aparecerá en la pestaña Hosts List un listado donde podemos ver:
- La puerta de enlace de la víctima 192.168.235.2
- La ip de la víctima 192.168.235.131
- La ip del atacante 192.168.235.254
Nota: Verificamos que la ip de la víctima sea la correcta dirigiéndonos en este caso a Ubuntu y le hacemos un ifconfig para ver la ip de la máquina:
Luego de haber revisado que la ip si es la correcta hacemos lo siguiente:
- Seleccionamos la ip de la víctima y damos clic en Add to Target 1.
- Seleccionamos la puerta de enlace de la víctima y damos clic en Add to Target 2.
Nos colocamos ahora en la pestaña Targets y seleccionamos el Target 1 y el Target 2:
Elijo la opción:
- Mitn
- Arp poisoning…
Aparece una ventanita donde voy a seleccionar la opción:
- Sniff remote connections
- OK
4. Cargar el plugin dns_spoof
Para cargar el plugin me dirijo a:
- Plugins
- Manage the plugins
Se abre otra pestaña donde voy a seleccionar dns_spoof.
En la parte inferior podemos observar que está activando el dns_spoof plugin.
Para finalizar intentamos abrir una página de google.com en la máquina víctima (Ubuntu) y tendrá que redireccionarnos a facebook.com
Comprobamos que la configuración que hemos hecho funciona.
Ademas en la parte inferior del ettercap podemos observar el mensaje:
dns_spoof: (www.google.com) spoofed to (69.171.228.13).
LA DEFENSA CONTRA LA FALSIFICACIÓN DE DNS
DNS spoofing es difícil de defenderse debido a que los ataques son en su mayoría pasivos por naturaleza. Por lo general, nunca se sabe que su DNS está siendo falseado, hasta que ha sucedido. Lo que obtiene es una página web que es diferente a lo que usted está esperando. En ataques muy específicos, es muy posible que nunca sepan que han sido engañados en introducir sus credenciales en un sitio falso hasta que reciba una llamada de su banco preguntando por qué usted acaba de comprar un nuevo barco de la costa de Grecia. Dicho esto, todavía hay algunas cosas que puede hacer para defenderse contra este tipo de ataques:
Asegure sus máquinas internas: Ataques como estos son los más comúnmente ejecutados desde dentro de la red. Si los dispositivos de red son seguros entonces hay menos posibilidades de que los equipos comprometidos se utilicen para lanzar un ataque de suplantación.
No se fie de DNS para los sistemas de seguridad: En los sistemas de alta sensibilidad y seguro, que por lo general no se navega en Internet a menudo, es una buena práctica de no utilizar DNS. Si usted tiene un software que se basa en los nombres de host para funcionar luego los puede especificar de forma manual en el archivo de los dispositivos instalados.
El uso de IDS: Un sistema de detección de intrusos, cuando se colocan y despliegan correctamente, por lo general puede recoger en la mayoría de las formas de envenenamiento de caché ARP y la suplantación de DNS.
Use DNSSEC: DNSSEC es una nueva alternativa a los servidores DNS que utiliza firma digital, los registros DNS garantizan la validez de una respuesta de consulta. DNSSEC no es todavía un amplio despliegue, pero ha sido ampliamente aceptada como “el futuro de DNS”. Esto es hasta tal punto que el Departamento de Defensa de los Estados Unidos ha ordenado que todos los dominios MIL GOV comiencen a utilizar DNSSEC en el próximo año.
Enrique Pluas
Solange Moncada
"los indestructibles" 
Muy buen tu tutorial esta muy interesante estare siguiendo los pasos esperando optener excito sigue asi muy buen post, solo cambiale los colores cuesta trabajo leer algunas cosas