Tag Archives: ARP

Dns Spoofing

Posted on 21 October, 2011 by
4 comments

Dns Spoofing

 

Para aquellos que no conocen el termino, DNS (Domain Name Server) 0 (Servidor de Nombres De Dominio). Dicho servidor es el encargado de resolver, por nosotros, un nombre de dominio en una dirección de IP. La tarea del DNS es alivianar la memoria del usuario por decirlo de una forma burda. No sería nada sencillo recordar cada número de IP de cada sitio que visitamos frecuentemente. Así, cada vez que queramos visitar “www.mkit.com.ar”, estaremos consultando a un DNS cual es la dirección de IP asociada al nombre de dominio en cuestión.

 

Funcionamiento DNS

Funcionamiento DNS

 

Generalmente los ISP (Internet Service Provider) son los encargados de otorgar las direcciones de IP de los DNS para nuestro servicio. En la mayoría de los Access Point, la configuración por defecto del DNS queda seteada en “Automática” por lo cual tomara dinámicamente la IP que nuestro proveedor de internet nos provea y la retransmitirá hacia todos los clientes conectados.

El ataque de DNS Spoofing se divide en 2 partes para mayor efectividad:

  • Hacerse pasar por el Access Point : Esto se logra haciendo un ARP Spoofing. Ataque ya mencionado en un articulo anterior. Véase ARP Spoof.
  • Hacerse pasar por el DNS mediante la utilización de la herramienta dnsspoof del paquete Dsniff.

Toda petición hecha por el usuario para los dominios que el atacante desee reemplazar, van a ser redirigidas hacia donde el usuario malintencionado desee. Así por ejemplo si el atacante tuviese un servidor web corriendo en su maquina con un login de Gmail, cada vez que cualquier usuario pidiera la resolucion del nombre de dominio “www.gmail.com”, este sera redirigido hacia la IP del servidor del atacante. Probablemente la pagina sera igual que la original y hasta quizás, pueda entrar en su mail.. Pero algo es seguro.. La credenciales fueron robadas.

La fortaleza de este ataque, reside en que es completamente transparente, el usuario no puede determinar la diferencia entre la pagina de gmail original y la falsa, ya que son idénticas y hasta el nombre de dominio, léase dirección de url si se quiere, es EXACTAMENTE la misma.

 

DNS Spoof

DNS Spoof - ARP Spoof

 

Alternativas para aquellos usuarios que navegan frecuentemente en redes publicas?

Si se quisiera saber si están siendo victimas de un ataque de Dnsspoof, deberían abrir un CMD en caso de Windows, un Konsole/Terminal en linux, y hacer un ping hacia el dominio al que se quiere acceder :

ping www.dominio.com

Si la IP del dominio a la que son dirigidos los paquetes ICMP es del tipo 192.168.x.x , o  en su defecto 10.x.x.x , significa que estamos siendo redirigidos hacia un servidor local dentro de nuestra misma red, ergo, hay un atacante haciendo la resolución de nombres de dominio.

En artículos posteriores vamos a ver otros tipos de ataques que se pueden llevar a cabo mediante estas técnica combinadas “Arpspoof+DnsSpoof”. En principio la idea de esta publicación, es demostrar lo facil que es para un atacante conseguir credenciales en redes de acceso público, y cuan transparente es para el usuario. No es el usuario en este caso el que esta siendo engañado, sino que el engaño se da a niveles tecnológicos.

 

 Gustavo Nicolas Ogawa

 

Categories: Uncategorized | Tags: , , , ,

ARPSPOOF

Posted on 27 September, 2011 by
7 comments

ARP SPOOF

ARPSPOOF es una técnica usada para infiltrarse en una red basadas en switch, Hub o una combinación de estas, pero primero que es ARP.-

ARP es un Protocolo de resolución de direcciones que trabaja en la capa 2 del Modelo OSI esta capa es la de enlace de datos, básicamente se maneja el direccionamiento físico de MAC y LLS.-

 

ARPSPOOFING

Es una técnica MITM “Man In The Middle” u Hombre en el medio que consiste en emitir falsos mensajes ARP llamados (spoofed), en la LAN. La finalidad de esta función es la asociar la dirección MAC del atacante con la puerta de enlace predeterminada (Gateway), con la intención de confundir a las otras maquinas conectadas en ese segmento de red LAN, haciendo que estas le envíen las peticiones de conexión al atacante. Pudiendo este elegir entre reenviar el trafico al verdadero Gateway modificando, leyendo los datos.-

 

 

la Conexión es normal entre el usuario y el Access Point.-

 

en este momento ya el usuario malintencionado ya esta en condiciones de capturar el trafico.-

mirándolo desde un punto más práctico es así como se realiza en arp spoofing con la herramienta arpspoof.-

paquetes ARP enviados a la Victima.-

paquetes arp enviados al Access Point.-

El ARP Spoofing puede ser ejecutado desde una máquina controlada (el atacante ha conseguido previamente hacerse con el control de la misma: intrusión), un Jack Box, o bien la máquina del atacante está conectada directamente a la LAN.-

Una vez que el atacante logró confundir los dos extremos, todas las comunicaciones pasan por el, pudiendo ver todo el tráfico.-

Es en este momento en que el atacante puede obtener todos los datos de importancia que no estén cifrado por algún medio como puede ser SSL.-

 Hay Muchas formas de tratar de protegerse de este tipo de ataques como recomendación nunca se deben logear a servicios donde se requiere usuario y password o mantener sesiones de chat como por ejemplo msn, desde  Bares, Estaciones de servicio, o lugares donde la red wifi no sea segura o no sean redes de confianza de uds.-

Cristian Amicelli Rivero

Categories: Uncategorized | Tags: , ,
SN Facebook Like