2014

JAIME LUIS TORRES FLREZ

DARWIN GRANADOS GUILLEN
Universidad de Pamplona
6-5-2014
ATAQUE DNS SPOOFING
INTRODUCCIN
En esta gua lo que se pretende es clonar una pagina web (www.faecebook.com) a travs
de dns spoofing, en una mquina virtual con el sistema operativo Kali linux, en la que se
pretende que la vctima (mquina virtual con Windows XP) realice una peticin de logueo
al sitio que para este caso es Facebook con el propsito de obtener los datos de ingreso
de la persona
OBJETIVOS
Clonar la pgina de Facebook
Interceptar la peticin dns que realice la vctima y facilitarle nuestro sitio clon
Obtener el usuario y la contrasea de la victima
MARCO TERICO
DNS (Domain Name System): Es una base de datos distribuida, con informacin que se
usa para traducir los nombres de dominio, fciles de recordar y usar por las personas, en
nmeros de protocolo de Internet (IP) que es la forma en la que las mquinas pueden
encontrarse en Internet.
Spoofing: En trminos de seguridad de redes hace referencia al uso de tcnicas de
suplantacin de identidad generalmente con usos maliciosos o de investigacin.
DNS Spoofing: Suplantacin de identidad por nombre de dominio. Se trata del
falseamiento de una relacin "Nombre de dominio-IP" ante una consulta de resolucin de
nombre, es decir, resolver con una direccin IP falsa un cierto nombre DNS o viceversa.
Esto se consigue falseando las entradas de la relacin Nombre de dominio-IP de un
servidor DNS, mediante alguna vulnerabilidad del servidor en concreto o por su confianza
hacia servidores poco fiables. Las entradas falseadas de un servidor DNS son
susceptibles de infectar (envenenar) el cache DNS de otro servidor diferente (DNS
Poisoning).
Ettercap: es su ncleo es un sniffer de paquetes que utiliza varios plug-in para hacer los
diversos ataques que puede realizar. Ettercap tiene una gran cantidad de funcionalidades
ms all de la falsificacin de DNS y se utiliza en muchos tipos de ataques MITM. Cuenta
con una interfaz grfica y una interfaz de lnea de comandos.
Kali Linux: Es la nueva generacin de la distribucin Linux BackTrack para realizar
Auditoras de Seguridad y Pruebas de Penetracin. Kali Linux es una plataforma basada
en GNU/Linux Debian y es una reconstruccin completa de BackTrack, la cual contiene
una gran cantidad de herramientas para capturar informacin, identificar vulnerabilidades,
explotarlas, escalar privilegios y cubrir las huellas.
HERRAMIENTAS
Kali Linux (VMWare Workstation) (atacante)

1. DNS Spoofing
2. Clone Site Attack
3. Ettercap

Windows Xp Sp3 (VMWare Workstation) (Victima)
DNS SPOOFING

Figura 1. Esquema de
A continuacin, utilizaremos una herramienta de Ingeniera Social, llamada Setoolkit.
Abrimos una terminal y ejecutamos el siguiente comando setoolkit, en ella
seleccionaremos las siguientes opciones respectivamente: 1, 2, 3 y 2 (ver figuras 2, 3, 4 y
5).

Figura 2.

Figura 3.

Figura 4.

Figura 5.
Tras esto nos pedir la IP del atacante, es decir nuestra IP que tiene Kali Linux (en este
caso la IP es 192.168.158.130).

Figura 6.
A continuacin nos va pedir la direccin del sitio web que queremos clonar. En nuestro
caso elegimos Facebook.

Figura 7.
Ahora esperamos hasta que aparezca el mensaje en azul, y dejamos quieta esta ventana
(solo la minimizamos)

Figura 8.
Para comprobar que realmente se ha clonado, basta con poner en el navegador (de la
maquina vctima o de la misma maquina Kali Linux) nuestra IP (la IP de Kali Linux
192.168.158.130) y nos saldr nuestro sitio clon.

Figura 9.
Ya solo nos queda un pequeo ajuste para que la vctima, cuando acceda a
www.facebook.com, sea reedireccionada a nuestro sitio. Abrimos una nueva terminal para
editar el archivo /etc/ettercap/etter.dns y poder aadir estas tres lneas siguientes:
www.facebook.es A IP_destino
*.facebook.* A IP_destino
www.facebook.es PTR IP_destino
IP_destino es nuestra IP de Kali Linux 192.168.158.130. Con estas tres lneas anteriores,
diremos que todo lo que vaya a Facebook lo redireccione a nuestra IP.

Figura 10.
Ya guardado el archivo anterior, nos falta ejecutar un ltimo comando:
ettercap -T -q -M arp -i eth0 -P dns_spoof //



Figura 11.
Ahora nos dirigimos a la maquina vctima (Windows Xp), abrimos el navegador y
entramos a www.facebook.com. Si vemos bien, estaramos entrando a la pgina clonada
del Facebook, y all ingresaremos un correo y una contrasea para tratar de ingresar.
Aqu hemos ingresado un correo y una contrasea falsa:
Correo: prueba@hotmail.com
Contrasea: prueba123456

Figura 12.
Una vez hecho lo anterior veremos que la pgina del Facebook no ha podido establecer
una conexin, esto se debe a que no hemos hecho ninguna conexin con el servidor del
Facebook original.
Figura 13.
Nuevamente volvemos a la mquina de Kali Linux y maximizamos la ventana del terminal
de la figura 8 que habamos dejado minimizada desde un principio. Aqu se puede
apreciar los datos que acabbamos de ingresar desde la maquina victima (Windows Xp).
















CONCLUSIONES
Como hemos visto a lo largo del procedimiento estos ataques pueden ser desde una
simple prctica a serios ataques que implican el robo de datos o que recolectan
ordenadores con fines delictivos.
Otro factor que se puede observar es que ningn sistema operativo est a salvo de estos
ataques. Existe la creencia de solo Windows es atacado por malware, de que OS X y
GNU/Linux son inmunes a este factor, el problema es que esto es totalmente falso.
Podemos decir que estos ataques son peligrosos y reales, pero como todo ataque, este
puede fallar sino se dan las condiciones necesarias. En esta gua se ha intentado mostrar
de forma lo ms instructiva posible los ataques existentes con la idea de conocerlos ya
que algn da es posible que lidiemos con ellos.

BIBLIGRAFIAS
http://lahackcueva.blogspot.com/2013/12/dns-spoofing-clone-site-attack.html
http://kalilinuxspain.blogspot.com/2013/04/dns-spoof-con-ettercap-en-kali-linux.html
http://www.youtube.com/watch?v=pmGgAI9O5a0
http://losindestructibles.wordpress.com/2011/09/30/dns-poisoning-spoofing/
http://es.wikipedia.org/wiki/Spoofing