Conhecendo o DNS Spoofing

O que é o DNS SPOOFING?

Dns Spoofing (ou envenenamento de cache DNS) é um ataque, no qual os dados são introduzidos em um Sistema de Nomes de Dominio (DNS) do banco de dados cache dos nomes do servidor, fazendo com que o nome do servidor redirecione para o endereço IP incorreto, desviando o tráfego para outro computador ou site (muitas vezes o do atacante).

Visão Geral do Sistema de Nomes de Domínio

Um servidor sistema de nome de domínio traduz um nome de domínio legível (como exemplo.com) em um endereço de IP que é usado para encaminhar comunicações entre os sistemas. Normalmente, se o servidor não sabe a tradução solicitada, ele vai pedir outro servidor, e o processo continua de forma continua.

Quando um servidor DNS receber uma tradução não-autêntica e armazenar em cache para otimização de desempenho, considera-se envenenado, e fornece os dados não autênticos para os clientes. Se um servidor DNS é envenenado, ele pode retornar um endereço IP incorreto, desviando o tráfego paraoutro computador (muitas vezes um atacante).

Ataques de Envenenamento de Cache

Normalmente, um computador em rede utiliza um servidor DNS fornecido pela organização dousuário de computador ou um provedor de serviços de Internet (ISP). Os servidores DNS são geralmente implantados na rede de uma organização para melhorar o desempenho de resposta docache dos resultados da consulta anteriormente obtidos. Ataques de envenenamento em um único servidor DNS pode afetar os usuários atendidos diretamente pelo servidor comprometido ou indiretamente pelo seu servidor downstream (s), se aplicável.

Para executar um ataque de envenenamento de cache, o invasor explora uma falha no software DNS.Se o servidor não está validando corretamente respostas DNS para garantir que eles são de uma fonte autorizada (por exemplo, utilizando DNSSEC), o servidor vai acabar em cache, e liberando asentradas incorretas no servidor local e servi-los a outros usuários que fazem o mesmo pedido.

Fonte: Wikipédia em Inglês
Tradução por mim.

Realizando Ataque DNS Spoofing Com Ettercap

No ataque de dns spoofing o atacante pode determinar para qual lugar o usuário vai ser redirecionado quando acessa um determinado domínio. Nesse exemplo estamos utilizando o Backtrack 5(Ou qualquer outro sistema, desde que tenha o Ettercap instalado) como atacante. Bem vamos por a mão na massa.

Primeiramente edite o arquivo etter.dns de acordo com sua necessidade, no nosso caso iremos usar o domínio do facebook como alvo, e iremos colocar o ip de um site pornô como exemplo.

# pico /usr/local/share/ettercape/etter.dns
facebook.com A 69.55.53.97
www.facebook.com A 69.55.53.97

Didática:

facebook.com : Domínio alvo, quando o cliente acessar esse domínio ele será redirecionado para outro lugar.
A : Tipo de redirecionamento de DNS.
69.55.53.97 : IP do site para onde o cliente será redirecionado.

Execução:

# ettercap -T -q -M arp -i eth0 -P dns_spoof //

Didática:

ettercap: Comando da ferramenta utilizada.
-T: Utiliza modo texto.
-q: Seta o modo silencioso.
-M arp: Tipo de redirecionamento.
-i eth0: Interface de rede.
-P dns_spoof: Plugin utilizado para o ataque.
// : Seleciona toda rede.

Agora em algum host da rede acesse o site facebook.com para fazer o teste, veja que você será redirecionado para o ip do site pornográfico que informamos no arquivo etter.dns, é importante lembrar que se tiver alguma proteção contra spoof na rede esse ataque não ira funcionar, quando um cliente acessa o domínio alvo ira aparecer na tela do atacante.
Também é importante lembrar que esse conhecimento é para fins didáticos e não devem ser aplicados sem autorização, qualquer tipo de ataque não autorizado é crime, lembre-se disso, não nos responsabilizamos por qualquer tipo de dano a terceiros

Créditos Originais: Guia de TI
Créditos pelo post: Gabriel - Brutal Security

Read More

Network Tools! Simples e Eficaz!

Fala galera!

Hoje venho aqui  apresentar a vocês a ferramenta Network Tools, uma ferramenta para footprinting, desenvolvida pela 3TM para a plataforma android, já testei e gostei bastante, pois é uma aplicação que poupa todo o trabalho de ter que utilizar ferramentas online ou até mesmo usar seu Prompt de comando do Windows ou Shell do Linux para se adquirir informações de algum site ou servidor, de forma segura e prática!

Suas principais funções:

- Ping;
- Traceroute;
- DNS lookup;
- Who Is query;
- WebGet;
- Subnet scanner;
- Subnet calculator;
- IP converter

Vamos falar passo a passo, sobre as funções principais PING, DNS, TRACEROUTE, WHOIS e WEBGET

Ping:

Utilizaremos o Google.com para essa pequena demonstração em imagens da utilização da ferramenta:

 

Resultado parcial, para mais detalhes, utiliza a função PING DETAILS:

DNS:

Continuamos com o Google.com para nossos testes:

Observem na imagem  que adquirimos o DNS do Google, porém não é só ele, utilize a função DNS FULL INFORMATION

Pronto, todos os endereços DNS do Google foram adquiridos.

TraceRoute:

Utilizaremos o DNS do Google para analisar:

Acreditam se eu disser que ficou assim por 5 minutos e não emitiu resultado? Como eu estava sem tempo no momento, não esperei acabar, porém, outra hora atualizo o artigo, e demonstro as demais funções do Tracert!

WHOIS:

Agora vamos obter as informações do DNS do GOOGLE;

Observem que a Ferramenta, entregou todos os resultados possíveis e públicos disponíveis do Google..

WebGet:

Interessante essa função dessa ferramenta, pois ela faz a medição da velocidade da sua conexão de internet, no meu teste deu 781.25 kbps a velocidade...

Resumindo, esse aplicativo é excelente, simples e de fácil utilização!

Porém não é a melhor ferramenta para levantamento de informações de sites e servidores, é claro e lógico que existem ferramentas muito mais planejadas e com mais funções que esta. Por Exemplo o FING(baseado em algumas funções do Nmap) e DSploit, são ferramentas para android formidáveis e já falamos sobre algumas aqui mesmo no blog.

Essa ferramenta é um encanto, por ser simples, e por ser leve! Aproveitem pois é de graça!

Um grande ponto negativo, são as propagandas que aparecem(Observem nas imagens), porém, como todos sabemos, os desenvolvedores ganham em cima dos clicks nos anúncios, então, é tolerar!

Faça o Download Seguro Pela Google Play!

https://play.google.com/store/apps/details?id=net.tools&hl=pt_BR

Até a próxima!

Read More

Hackers desfiguram página do Google Palestina

---

A home palestina do Google foi hackeada nesta segunda-feira, 26. Os responsáveis pelo ataque desfiguraram a página para exibir mensagens políticas no maior buscador do mundo.

As mensagens postadas na página se referiam ao fato de o Google Maps mostrar os territórios palestinos como se fossem pertencentes a Israel, em vez de mostrar claramente o nome "Palestina".

Aparentemente, como informa o ZDNet, trata-se de um sequestro de DNS que levava os usuários que acessassem o google.ps para um servidor hospedado no Marrocos. O domínio, no entanto, continua sob posse do Google.

O Google confirma o redirecionamento de DNS, mas a home da Palestina já saiu do ar. Após o problema, ao tentar entrar na página, o usuário é levado para uma página de "Conta Suspensa". A empresa afirma que outros serviços não foram afetados.

Por mais que os hackers não estejam satisfeitos com a postura do Google sobre a Palestina, a empresa já tomou alguns pequenos passos para o reconhecimento da nação, que disputa territórios com Israel. A própria página do google.ps passou a exibir o nome "Google Palestinian Territories" para "Google Palestine" (de "Google Territórios Palestinos" para "Google Palestina").



Fonte:  Olhar Digital

Read More

4 truques para acelerar as conexões ssh

Eu uso o ssh conexões para gerenciar servidores remotos é uma das tarefas principais em meu trabalho, por isso ao longo do tempo eu aprendi alguns truques para acelerar a fase de conexão do protocolo ssh, portanto, neste artigo, vou mostrar-lhe como:

Configurar o ssh para usar ipv4 só 
configurar ssh para usar um determinado método de autenticação 
Reuse SSH Conexão 
Desative o DNS Lookup no lado do servidor

Além disso, se você estiver interessado em ssh, você pode dar uma olhada em meus artigos anteriores sobre Como manter conexões ssh vivo em Linux e como manter um permanente Túneis SSH com autossh .


Por favor, note que eu uso esses ajustes no meu Ubuntu 13.04 e Arch Linux, a versão mais antiga do ssh não poderia ter todas essas opções.Use ssh com apenas IPv4.

Às vezes eu posso chegar a um servidor através de IPv4, mas não sobre IPv6. Outras vezes, a conexão IPv6 é instável ou de buggy, de modo a ser capaz de forçar uma conexão SSH sobre IPv4 pode ser útil, e é mais rápido em alguns casos.

Para forçar uma conexão IPV4 você pode simplesmente usar este comando no seu computador:

ssh -4 usuário @ hostname.com

Isto irá ligar a hostname.com usando apenas o protocolo IPV4, por outro lado, se você quiser forçar uma conexão IPV6 você pode usar o comando:

ssh -6 usuário @ hostname.com

Use ssh com um determinado método de autenticação

Em geral, a melhor maneira de se autenticar é com uma troca de chaves entre o cliente eo servidor ssh ssh, desta forma você não tem que colocar a sua senha toda vez que você faz uma conexão, mas às vezes você não troca as teclas entre o cliente eo servidor e por isso você deve usar a senha antiga bom.

Neste caso, você pode usar a opção de pular o método pubkey e ir diretamente para o método de senha, para isso use o comando:

ssh -o PreferredAuthentications = teclado interativo -o PubkeyAuthentication = no user @ hostname.com

Você também pode fazer o inverso, e executar ssh para usar somente o método pubkey com o comando:

ssh -o PreferredAuthentications = publickey usuário @ hostname.com

Reutilização de conexão SSH

É possível reutilizar uma conexão para o servidor remoto usando a diretiva Controlmaster. O conceito é muito simples - em vez de a cada nova conexão SSH para um servidor em particular abrindo uma nova conexão TCP, em vez disso multiplex todas as suas conexões SSH para baixo de uma conexão TCP. A autenticação só acontece uma vez, quando a conexão TCP é aberta e, posteriormente, todas as suas sessões extras SSH são enviados para baixo essa conexão. 
Para definir esta opção de abrir o arquivo de configuração do ssh para o usuário, que está localizado em: ~ ​​/ .ssh / config e adicione as seguintes opções:

Anfitrião * ControlMaster auto ControlPath / tmp /% r @% h: % p

Isto diz o seu cliente ssh para usar sempre um ControlMaster em todos os hosts. Você pode configurá-lo para autoask auto ter solicitará ao invés de ssh para você ou não reutilizar uma conexão existente. A configuração directiva ControlPath diz ssh onde ele deve manter a sua informação socket. Neste exemplo, os arquivos são criados em / tmp, no entanto, pode ser melhor para colocar isso em seu próprio diretório home em sistemas multi-usuário.

Desativar a pesquisa de DNS no lado do servidor

A última coisa que se você é o proprietário do servidor remoto, você pode configurá-lo para não resolver o nome do verso do IP que está se conectando via ssh, não há uma definição no OpenSSH que controla se o sshd não deve apenas resolver nomes de hosts remotos mas também verificar se os nomes de host resolvidos mapa de volta para IPs remotos. Aparentemente, essa configuração é ativada por padrão no OpenSSH.Os UseDNS directiva controla esse comportamento particular do OpenSSH, e enquanto ele é comentado no sshd_config (que é o arquivo de configuração padrão para o daemon OpenSSH na maioria enviornments), conforme a página man sshd_config, o padrão para UseDNS é definida como ativada. Descomentar a linha que carrega a directiva UseDNS e defini-la como "não" desativa o recurso.

Esta diretiva pode ser modificado no arquivo / etc / ssh / sshd_config e uma vez que você mudar isso você tem que reiniciar o daemon ssh com o comando:

/ etc / init.d / ssh reiniciar

Ou equivalente.

Conclusões

Estas são algumas dicas rápidas para acelerar suas tarefas diárias com o ssh, se você tiver quaisquer outras dicas ou sugestões basta adicioná-los como comentários, estou sempre em busca de bons truques.

Referências:

Read More