2014

JAIME LUIS TORRES FLÓREZ

DARWIN GRANADOS GUILLEN

Universidad de Pamplona

6-5-2014

ATAQUE DNS SPOOFING

INTRODUCCIÓN

En esta guía lo que se pretende es clonar una pagina web (www.faecebook.com) a través

de dns spoofing, en una máquina virtual con el sistema operativo Kali linux, en la que se

pretende que la víctima (máquina virtual con Windows XP) realice una petición de logueo

al sitio que para este caso es Facebook con el propósito de obtener los datos de ingreso

de la persona

OBJETIVOS

Clonar la página de Facebook

Interceptar la petición dns que realice la víctima y facilitarle nuestro sitio clon

Obtener el usuario y la contraseña de la victima

MARCO TEÓRICO

DNS (Domain Name System): Es una base de datos distribuida, con información que se

usa para traducir los nombres de dominio, fáciles de recordar y usar por las personas, en

números de protocolo de Internet (IP) que es la forma en la que las máquinas pueden

encontrarse en Internet.

Spoofing: En términos de seguridad de redes hace referencia al uso de técnicas de

suplantación de identidad generalmente con usos maliciosos o de investigación.

DNS Spoofing: Suplantación de identidad por nombre de dominio. Se trata del

falseamiento de una relación "Nombre de dominio-IP" ante una consulta de resolución de

nombre, es decir, resolver con una dirección IP falsa un cierto nombre DNS o viceversa.

Esto se consigue falseando las entradas de la relación Nombre de dominio-IP de un

servidor DNS, mediante alguna vulnerabilidad del servidor en concreto o por su confianza

hacia servidores poco fiables. Las entradas falseadas de un servidor DNS son

susceptibles de infectar (envenenar) el cache DNS de otro servidor diferente (DNS

Poisoning).

Ettercap: es su núcleo es un sniffer de paquetes que utiliza varios plug-in para hacer los

diversos ataques que puede realizar. Ettercap tiene una gran cantidad de funcionalidades

más allá de la falsificación de DNS y se utiliza en muchos tipos de ataques MITM. Cuenta

con una interfaz gráfica y una interfaz de línea de comandos.

Kali Linux: Es la nueva generación de la distribución Linux BackTrack para realizar

Auditorías de Seguridad y Pruebas de Penetración. Kali Linux es una plataforma basada

en GNU/Linux Debian y es una reconstrucción completa de BackTrack, la cual contiene

una gran cantidad de herramientas para capturar información, identificar vulnerabilidades,

explotarlas, escalar privilegios y cubrir las huellas.

HERRAMIENTAS

Kali Linux (VMWare Workstation) (atacante)

1. DNS Spoofing

2. Clone Site Attack

3. Ettercap

Windows Xp Sp3 (VMWare Workstation) (Victima)

DNS SPOOFING

Figura 1. Esquema de

A continuación, utilizaremos una herramienta de Ingeniería Social, llamada Setoolkit.

Abrimos una terminal y ejecutamos el siguiente comando setoolkit, en ella

seleccionaremos las siguientes opciones respectivamente: 1, 2, 3 y 2 (ver figuras 2, 3, 4 y

5).

Figura 2.

Figura 3.

Figura 4.

Figura 5.

Tras esto nos pedirá la IP del atacante, es decir nuestra IP que tiene Kali Linux (en este

caso la IP es 192.168.158.130).

Figura 6.

A continuación nos va pedir la dirección del sitio web que queremos clonar. En nuestro

caso elegimos Facebook.

Figura 7.

Ahora esperamos hasta que aparezca el mensaje en azul, y dejamos quieta esta ventana

(solo la minimizamos)

Figura 8.

Para comprobar que realmente se ha clonado, basta con poner en el navegador (de la

maquina víctima o de la misma maquina Kali Linux) nuestra IP (la IP de Kali Linux

192.168.158.130) y nos saldrá nuestro sitio clon.

Figura 9.

Ya solo nos queda un pequeño ajuste para que la víctima, cuando acceda a

www.facebook.com, sea reedireccionada a nuestro sitio. Abrimos una nueva terminal para

editar el archivo /etc/ettercap/etter.dns y poder añadir estas tres líneas siguientes:

www.facebook.es A IP_destino

*.facebook.* A IP_destino

www.facebook.es PTR IP_destino

IP_destino es nuestra IP de Kali Linux 192.168.158.130. Con estas tres líneas anteriores,

diremos que todo lo que vaya a Facebook lo redireccione a nuestra IP.

Figura 10.

Ya guardado el archivo anterior, nos falta ejecutar un último comando:

ettercap -T -q -M arp -i eth0 -P dns_spoof //

Figura 11.

Ahora nos dirigimos a la maquina víctima (Windows Xp), abrimos el navegador y

entramos a www.facebook.com. Si vemos bien, estaríamos entrando a la página clonada

del Facebook, y allí ingresaremos un correo y una contraseña para tratar de ingresar.

Aquí hemos ingresado un correo y una contraseña falsa:

Correo: prueba@hotmail.com

Contraseña: prueba123456

Figura 12.

Una vez hecho lo anterior veremos que la página del Facebook no ha podido establecer

una conexión, esto se debe a que no hemos hecho ninguna conexión con el servidor del

Facebook original.

Figura 13.

Nuevamente volvemos a la máquina de Kali Linux y maximizamos la ventana del terminal

de la figura 8 que habíamos dejado minimizada desde un principio. Aquí se puede

apreciar los datos que acabábamos de ingresar desde la maquina victima (Windows Xp).

CONCLUSIONES

Como hemos visto a lo largo del procedimiento estos ataques pueden ser desde una simple práctica a serios ataques que implican el robo de datos o que recolectan ordenadores con fines delictivos. Otro factor que se puede observar es que ningún sistema operativo está a salvo de estos ataques. Existe la creencia de solo Windows es atacado por malware, de que OS X y GNU/Linux son inmunes a este factor, el problema es que esto es totalmente falso. Podemos decir que estos ataques son peligrosos y reales, pero como todo ataque, este puede fallar sino se dan las condiciones necesarias. En esta guía se ha intentado mostrar de forma lo más instructiva posible los ataques existentes con la idea de conocerlos ya que algún día es posible que lidiemos con ellos.

BIBLIGRAFIAS

http://lahackcueva.blogspot.com/2013/12/dns-spoofing-clone-site-attack.html

http://kalilinuxspain.blogspot.com/2013/04/dns-spoof-con-ettercap-en-kali-linux.html

http://www.youtube.com/watch?v=pmGgAI9O5a0

http://losindestructibles.wordpress.com/2011/09/30/dns-poisoning-spoofing/

http://es.wikipedia.org/wiki/Spoofing