DNS SPOOFING es un tipo de ataque por el cual un cracker podría llevarnos  a un sitio web totalmente falso y con malas intenciones.

Por ejemplo:

Imaginemos que escribimos google.com en la barra de direcciones, el navegador invocara al lado del cliente DNS, y esta pasa la petición a la red. En la red existe un atacante que va a detectar la solicitud DNS y le va a devolver al cliente DNS una IP que no se corresponde  con la del host solicitado, pero permite dar una impresión de que si es la pagina solicitada.

GUÍA PARA REALIZAR UN ATAQUE DNS SPOOFING UTILIZANDO BACK TRACK

  • Configuramos la IP de la tarjeta de red de nuestra maquina con BackTrack, con el siguiente comando:

             ifconfig NIC dirección_IP/Mascara 

En nuestro caso la tarjeta de red se llama eth1

  • Configuramos el Gateway  o puerta de enlace a nuestra maquina con el comando

              route add default  gw IP_del_Gateway 

  • Configurar el servidor DNS en el archivo /etc/resolv.conf, mediante el comando:

echo nameserver IP_Servidor_DNS >/etc/resolv.conf

  • Verificamos las configuraciones realizadas a nuestra tarjeta de red, haciendo ping a nuestra víctima, al Gateway y al servidor DNS.

Para nuestro ejemplo, levantaremos un sitio web en el servidor apache de nuestra propia maquina. Un ataque real levantaría un sitio falso para poder robar información del usuario víctima.

  • Desde el back Track Levantamos el servicio apache ya que en este vamos a tener la pagina levantada para realizar el ataque

             Applications ->Services->HTTPD -> apache start

  • Localizamos el archivo de configuración etter.dns mediante el comando

             locate etter.dns

  • Modificamos este archivo con la información del sitio web que vamos a suplantar y la IP de nuestro sitio web falso.

La estructura de este archivo es la siguiente:

Sitio_Web A IP_Sitio_Web_Falso

 

En nuestro caso tenemos vamos a re direccionar  las peticiones hacia facebook de nuestra víctima, a nuestro sitio web falso montado en nuestra maquina atacante 192.168.179.127

  • Se ejecuta el comando ettercap para realizar el ataque  con los siguientes parámetros:

Donde:

-T  nos indica que iniciaremos la aplicación en modo texto (-G para iniciar la interfaz grafica).

-q   Modo silencioso

-i    Para indicar el nombre de nuestra tarjeta de red en este caso es eth1

-P  Especificamos el Plugin a utilizar, para este ataque utilizamos el plugin dns_spoof. Este es el que realiza la

suplantación.

-M  Para especificar que el tipo ataque MID (Man In the Middle), en este caso será un envenenamiento arp.

//    (TARGET 1) Con las dobles barras indicamos que vamos a dirigir nuestro ataque a cualquier puerta Gateway, esto  es correcto para nuestra demostración; pero lo indicado es especificar la IP del Gateway.

//    (TARGET 2) Este ultimo parámetro es el que indica la Ip de nuestra víctima, con las dobles barras vamos a realizar un ataque a todas las maquinas e la red, se debe de tener cuidado al usar // ya que en una red grande esto podría ocasionar una denegación de servicio.

En la siguiente imagen vemos como escanea la red en busca de las víctimas para realizarles un envenenamiento arp y se activa el modo sniffing para poder revisar las peticiones de las víctimas.

Mientras nuestra victima realiza una petición en el explorador…

Esta petición es redirigida por ettercap a la IP 192.168.179.127

El cliente al final accede a nuestro sitio falso que en nuestro caso es la página Offensive Security. Un atacante montaría una página idéntica a la verdadera, para así robar información.

A continuación el video del ataque.

Integrantes

Karen Arellano Infante

Kerly Burgos Garcés

Erick Lindao Rodriguez

Mauricio Torres Masache