DARWIN GRANADOS GUILLEN Universidad de Pamplona 6-5-2014 ATAQUE DNS SPOOFING INTRODUCCIN En esta gua lo que se pretende es clonar una pagina web (www.faecebook.com) a travs de dns spoofing, en una mquina virtual con el sistema operativo Kali linux, en la que se pretende que la vctima (mquina virtual con Windows XP) realice una peticin de logueo al sitio que para este caso es Facebook con el propsito de obtener los datos de ingreso de la persona OBJETIVOS Clonar la pgina de Facebook Interceptar la peticin dns que realice la vctima y facilitarle nuestro sitio clon Obtener el usuario y la contrasea de la victima MARCO TERICO DNS (Domain Name System): Es una base de datos distribuida, con informacin que se usa para traducir los nombres de dominio, fciles de recordar y usar por las personas, en nmeros de protocolo de Internet (IP) que es la forma en la que las mquinas pueden encontrarse en Internet. Spoofing: En trminos de seguridad de redes hace referencia al uso de tcnicas de suplantacin de identidad generalmente con usos maliciosos o de investigacin. DNS Spoofing: Suplantacin de identidad por nombre de dominio. Se trata del falseamiento de una relacin "Nombre de dominio-IP" ante una consulta de resolucin de nombre, es decir, resolver con una direccin IP falsa un cierto nombre DNS o viceversa. Esto se consigue falseando las entradas de la relacin Nombre de dominio-IP de un servidor DNS, mediante alguna vulnerabilidad del servidor en concreto o por su confianza hacia servidores poco fiables. Las entradas falseadas de un servidor DNS son susceptibles de infectar (envenenar) el cache DNS de otro servidor diferente (DNS Poisoning). Ettercap: es su ncleo es un sniffer de paquetes que utiliza varios plug-in para hacer los diversos ataques que puede realizar. Ettercap tiene una gran cantidad de funcionalidades ms all de la falsificacin de DNS y se utiliza en muchos tipos de ataques MITM. Cuenta con una interfaz grfica y una interfaz de lnea de comandos. Kali Linux: Es la nueva generacin de la distribucin Linux BackTrack para realizar Auditoras de Seguridad y Pruebas de Penetracin. Kali Linux es una plataforma basada en GNU/Linux Debian y es una reconstruccin completa de BackTrack, la cual contiene una gran cantidad de herramientas para capturar informacin, identificar vulnerabilidades, explotarlas, escalar privilegios y cubrir las huellas. HERRAMIENTAS Kali Linux (VMWare Workstation) (atacante)
1. DNS Spoofing 2. Clone Site Attack 3. Ettercap
Windows Xp Sp3 (VMWare Workstation) (Victima) DNS SPOOFING
Figura 1. Esquema de A continuacin, utilizaremos una herramienta de Ingeniera Social, llamada Setoolkit. Abrimos una terminal y ejecutamos el siguiente comando setoolkit, en ella seleccionaremos las siguientes opciones respectivamente: 1, 2, 3 y 2 (ver figuras 2, 3, 4 y 5).
Figura 2.
Figura 3.
Figura 4.
Figura 5. Tras esto nos pedir la IP del atacante, es decir nuestra IP que tiene Kali Linux (en este caso la IP es 192.168.158.130).
Figura 6. A continuacin nos va pedir la direccin del sitio web que queremos clonar. En nuestro caso elegimos Facebook.
Figura 7. Ahora esperamos hasta que aparezca el mensaje en azul, y dejamos quieta esta ventana (solo la minimizamos)
Figura 8. Para comprobar que realmente se ha clonado, basta con poner en el navegador (de la maquina vctima o de la misma maquina Kali Linux) nuestra IP (la IP de Kali Linux 192.168.158.130) y nos saldr nuestro sitio clon.
Figura 9. Ya solo nos queda un pequeo ajuste para que la vctima, cuando acceda a www.facebook.com, sea reedireccionada a nuestro sitio. Abrimos una nueva terminal para editar el archivo /etc/ettercap/etter.dns y poder aadir estas tres lneas siguientes: www.facebook.es A IP_destino *.facebook.* A IP_destino www.facebook.es PTR IP_destino IP_destino es nuestra IP de Kali Linux 192.168.158.130. Con estas tres lneas anteriores, diremos que todo lo que vaya a Facebook lo redireccione a nuestra IP.
Figura 10. Ya guardado el archivo anterior, nos falta ejecutar un ltimo comando: ettercap -T -q -M arp -i eth0 -P dns_spoof //
Figura 11. Ahora nos dirigimos a la maquina vctima (Windows Xp), abrimos el navegador y entramos a www.facebook.com. Si vemos bien, estaramos entrando a la pgina clonada del Facebook, y all ingresaremos un correo y una contrasea para tratar de ingresar. Aqu hemos ingresado un correo y una contrasea falsa: Correo: prueba@hotmail.com Contrasea: prueba123456
Figura 12. Una vez hecho lo anterior veremos que la pgina del Facebook no ha podido establecer una conexin, esto se debe a que no hemos hecho ninguna conexin con el servidor del Facebook original. Figura 13. Nuevamente volvemos a la mquina de Kali Linux y maximizamos la ventana del terminal de la figura 8 que habamos dejado minimizada desde un principio. Aqu se puede apreciar los datos que acabbamos de ingresar desde la maquina victima (Windows Xp).
CONCLUSIONES Como hemos visto a lo largo del procedimiento estos ataques pueden ser desde una simple prctica a serios ataques que implican el robo de datos o que recolectan ordenadores con fines delictivos. Otro factor que se puede observar es que ningn sistema operativo est a salvo de estos ataques. Existe la creencia de solo Windows es atacado por malware, de que OS X y GNU/Linux son inmunes a este factor, el problema es que esto es totalmente falso. Podemos decir que estos ataques son peligrosos y reales, pero como todo ataque, este puede fallar sino se dan las condiciones necesarias. En esta gua se ha intentado mostrar de forma lo ms instructiva posible los ataques existentes con la idea de conocerlos ya que algn da es posible que lidiemos con ellos.