segunda-feira, 30 de março de 2015

O que é o DNS SPOOFING?

Dns Spoofing (ou envenenamento de cache DNS) é um ataque, no qual os dados são introduzidos em um Sistema de Nomes de Dominio (DNS) do banco de dados cache dos nomes do servidor, fazendo com que o nome do servidor redirecione para o endereço IP incorreto, desviando o tráfego para outro computador ou site (muitas vezes o do atacante).


Visão Geral do Sistema de Nomes de Domínio


Um servidor sistema de nome de domínio traduz um nome de domínio legível (como exemplo.com) em um endereço de IP que é usado para encaminhar comunicações entre os sistemas. Normalmente, se o servidor não sabe a tradução solicitada, ele vai pedir outro servidor, e o processo continua de forma continua.

Quando um servidor DNS receber uma tradução não-autêntica e armazenar em cache para otimização de desempenho, considera-se envenenado, e fornece os dados não autênticos para os clientes. Se um servidor DNS é envenenado, ele pode retornar um endereço IP incorreto, desviando o tráfego paraoutro computador (muitas vezes um atacante).


Ataques de Envenenamento de Cache

Normalmente, um computador em rede utiliza um servidor DNS fornecido pela organização dousuário de computador ou um provedor de serviços de Internet (ISP). Os servidores DNS são geralmente implantados na rede de uma organização para melhorar o desempenho de resposta docache dos resultados da consulta anteriormente obtidos. Ataques de envenenamento em um único servidor DNS pode afetar os usuários atendidos diretamente pelo servidor comprometido ou indiretamente pelo seu servidor downstream (s), se aplicável.

Para executar um ataque de envenenamento de cache, o invasor explora uma falha no software DNS.Se o servidor não está validando corretamente respostas DNS para garantir que eles são de uma fonte autorizada (por exemplo, utilizando DNSSEC), o servidor vai acabar em cache, e liberando asentradas incorretas no servidor local e servi-los a outros usuários que fazem o mesmo pedido.

Fonte: Wikipédia em Inglês
Tradução por mim.


Realizando Ataque DNS Spoofing Com Ettercap

No ataque de dns spoofing o atacante pode determinar para qual lugar o usuário vai ser redirecionado quando acessa um determinado domínio. Nesse exemplo estamos utilizando o Backtrack 5(Ou qualquer outro sistema, desde que tenha o Ettercap instalado) como atacante. Bem vamos por a mão na massa.

Primeiramente edite o arquivo etter.dns de acordo com sua necessidade, no nosso caso iremos usar o domínio do facebook como alvo, e iremos colocar o ip de um site pornô como exemplo.

# pico /usr/local/share/ettercape/etter.dns
facebook.com A 69.55.53.97
www.facebook.com A 69.55.53.97

Didática:


facebook.com : Domínio alvo, quando o cliente acessar esse domínio ele será redirecionado para outro lugar.
A : Tipo de redirecionamento de DNS.
69.55.53.97 : IP do site para onde o cliente será redirecionado.


Execução:



# ettercap -T -q -M arp -i eth0 -P dns_spoof //



Didática:


ettercap: Comando da ferramenta utilizada.
-T: Utiliza modo texto.
-q: Seta o modo silencioso.
-M arp: Tipo de redirecionamento.
-i eth0: Interface de rede.
-P dns_spoof: Plugin utilizado para o ataque.
// : Seleciona toda rede.

Agora em algum host da rede acesse o site facebook.com para fazer o teste, veja que você será redirecionado para o ip do site pornográfico que informamos no arquivo etter.dns, é importante lembrar que se tiver alguma proteção contra spoof na rede esse ataque não ira funcionar, quando um cliente acessa o domínio alvo ira aparecer na tela do atacante.
Também é importante lembrar que esse conhecimento é para fins didáticos e não devem ser aplicados sem autorização, qualquer tipo de ataque não autorizado é crime, lembre-se disso, não nos responsabilizamos por qualquer tipo de dano a terceiros

Créditos Originais: Guia de TI
Créditos pelo post: Gabriel - Brutal Security

0 comentários:

Postar um comentário

Subscribe to RSS Feed Follow me on Twitter!