Dns spoofing con cain y abel.
Este post es para comprobar nuestras medidas de seguridad con lo que se debe hacer un uso responsable.
Un dns spoofing es un ataque en el que llevamos a un usuario o servidor a una página diferente a la que este quiere ir. Lo que se hace es modificar la respuesta que da el DNS a la resolucion de un nombre, cambiando la parte dela direccion IP por la del servidor o la pagina a la cual deseamos llevar al usuario.
Para ello abrimos cain. En la primera ventana vemos una serie de pestañas. Escogemos la de Sniffer y en la parte inferior host.
Si nos aparecieran las direcciones de algunos hosts hemos de borrarlos, para lo que hacemos clic con el botón derecho en cualquier recuadro de los que hay en blanco y escogemos la opción Remove All.
Luego iniciamos el Sniffer mediante la siguiente pestaña.
Seguidamente pulsamos el boton de + que nos aparece en la pantalla anterior. Se nos abre una ventana donde escogemos la opción All Tests y dejamos que trabaje ( con ello hayamos todos los hosts de mi subred).
Una vez esta tarea está terminada, en el espacio en blanco podremos observar las direccionesIP y MAC de los equipos que para nosotros son visibles, además del OUI fingerprint, que es elcampo en donde se muestra el fabricante del dispositivo que está conectado a la red.
en la parte de abajo de la ventana damos clic en la opción APR. En esta parte realizaremos el ataque Man In the Mittle –MItM.
Un poco de teoría ante de continuar con el ataque para explicar su funcionamiento.
El ataque Man in the Middle consiste en ubicar un equipo entre otros dos, por lo generalun computador y el gateway, sin que ninguno de los dos se de por enterado de ello. Estopermite que el computador infiltrado puede leer, modificar o insertar información altráfico entre estos dos equipos conectados a la red. Cabe resaltar que el atacante de tenerla capacidad de observar e interceptar los mensajes de la comunicación entre las dosvictimas. Este tipo de ataques permite la realización de: intercepcion de la comunicación, ataques a partir de textos cifrados conocidos, de sustitución, de repetición, por denegacion del servicio.
Una de la formas de realizar el ataque MItM es ARP Poison Routing, consiste en enviar mensajes ARP falsos a los equipos que queremos intervenir. Supongamos que tenemos tres equipos, A, B y el Sniffer. El equipo A yB son los que se estan comunicando, y el equipo Sniffer es desde el cual vamos a realizar el ataque. El equipo Sniffer envia un mensaje ARP falso a los otros equipos, de forma que obliga a que la tabla ARP sea actualizada. En esta actualización, el equipo Sniffer le dice al equipo A que su dirección MAC es la asociada a la dirección IP del equipo B, de igual forma, el equipo Sniffer le dice al equipo B que su dirección MAC es la asociada a la dirección IP del equipo A.
Tras la teoría continuemos donde lo habíamos dejado, Hacemos clic en la pestaña inferior de ARP y en uno de los cuadros en blanco hace clic para que se active el signo mas superior.
Ahora encontraremos una ventana con dos columnas, la columna de la izquierda muestra una lista de direcciones IP de donde debemos escoger cual será nuestra “victima A” en la derecha (es el ordenador que le cambiaremos las web que quiera ver) y de la columna izquierda, debemos escoger cual será nuestra “victima B” que generalmente es el gateway de la red. Luego damos clic en OK.
En la ventana que sigue, es en la que realizaremos la entrada que quedará almacenada en Caín. En el primer campo, DNS Name Requested, es donde escribimos la URL que queremos “redireccionar”, y el siguiente campo, “ IP address to rewrite in response packects ”es donde escribimos la IP del sitio al que realmente va a ir la víctima. Luego presionamos OK. Si de pronto no conocemos la dirección IP de la página a la que queremos que vaya la victima, podemos hacer clic en el boton “Resolve” y alli escribimos la URL de la página, a demas, si nos hemos equivocado en los datos escritos, podemos editar o eliminar las entradas realizadas simplemente dando clic derecho sobre la entrada en la que se desea trabaja.
Este paso debemos de repetirlo con las posibles url de manera según el ejemplo https//www.página_en_cuestion.com , www.página_en_cuestion.com, página_en_cuestion.com.
Para activar esto, damos clic en el botón amarillo que se encuentra a la derecha del botón activación de sniffer
.
Listo esperamos un poco y ya comienza a redirecionar.