DNS SPOOFING

JOHN RODRIGUEZ

MIGUEL BARRETO

FREDY VILLARRAGA

GESTION DE REDES CEET SENA

BOGOTA

Que es DNS spoofing

• Es una suplantación de un nombre de dominio en la cual ese DNS será resuelto por una ip diferente a la del servidor que realmente aloja el servicio.

hacker

Conexión original

victima server

Herramientas a usar

• Kali Linux sistema operativo a usar distribución basada en debían.

• Ettercap: es un interceptor para redes lan. Entre sus funciones están:

Inyección de caracteres

Man in the middle

intercepción conexiones ssh1

• Setoolkit: Es una multiplataforma que viene integrada en kalilinux que también se pueden descargar en otras distribuciones de Linux. Esta herramienta viene con una serie de herramientas de ing- social.

Pasos a seguir

En la terminal escribimos Setoolkit para ingresar a esta herramienta

Nos saldrán las siguientes opciones y daremos la opción 1

Escogemos la segunda opción que es la de webside attack vectors

En esta tercera opción escogeremos la numero 3 “credential harvester attack method”

Por ultimo escogemos “site cloner” opción 2

Insertaremos la ip de nuestro cliente kali linux

Seguido el dns de la pagina a clonar damos a enter y esperamos unos segundos.

Nos vamos a editar el archivo etter.dns el cual se encuentra en /etc/ettercap

Debemos dejar el archivo con el dns que clonamos y la ip de nuestro cliente kali Linux para que la información de lo que interactúe nuestra victima sea enviada a la maquina guardamos y salimos.

Ahora debemos acceder a la herramienta “ettercap-graphical” la cual nosotros encontraremos las demás ip de los equipos conectados a nuestra red.

Después de agregar nuestra interfaz grafica y escanear los host en la herramienta ettercap Agregamos la dirección de puerta de enlace 10.10.2.1 a “ADD TO TARGET 1 Y la ip de nuestra victima 10.10.2.3 a “ADD TO TARGET 2”

Después vamos a la pestaña plugins y después damos la opción “manage the plugins”

Daremos doble click a dns_spoof para iniciar el plugin

Después vamos a Arp poisoning para usar este tipo de paquete en el dns spoofing

Arp es un protocolo el cual genera tablas de direcciones físicas(mac) e ips.

Damos la opción sniff remote connections luego hacemos click en aceptar.

Por ultimo nos ubicamos en la pestaña start y damos la opción start sniffing, para iniciar el ataque.

Enseguida solo nos queda esperar a que nuestra victima ingrese a la pagina e ingrese los datos, cuando esto pase saldrá este mensaje en el cuadro de los detalles en ettercap con la diferencia que se vera el dns que cada uno halla puesto.

En los ficheros /var/www/ quedaran guardados los datos de nuestras victimas. De esta forma:

MITIGACION DNS SPOOF

• La mejor forma de mitigar el DNS SPOOFING es con https ya que cuando se intenta clonar la web y después intentamos ingresar a ella no nos va a ingresar con https solamente ingresa cuando es solamente http.

• Para que podamos ingresar en una conexión segura es necesario tener nuestros navegadores actualizados con ellos nos brindaran la mejor seguridad posible.

Hoy en día los servidores web utilizan un mecanismo de políticas de seguridad web en la cual el servidor cuando acepta a los usuarios compatibles, deben estos hacerlos únicamente desde una conexión segura la cual es https.

Este mecanismo se llama hsts (strict transport security) protocolos que hoy en día usan los servidores web y DNS para proteger a sus usuarios.

Esta técnica se puede realizar mediante certificados que usan los navegadores en concreto el certificado TLS/SSL de esta forma se correobora si el usuario es compatible.

TLS

Son protolos que permiten tener una comunicación segura dentro de la red

El enlace del video de la practica es: https://youtu.be/SF2Eih3uVLs

Esto se utiliza para cifrar el flujo de datos entre ambas partes permitiendo así la confidencialidad entre el dato y el mensaje. Algunos motores de busque como google chrome aborda esta limitación mediante una lista para que solamente use conexiones seguras.