Que es dns spoofing segun wikipedia:DNS Spoofing
Suplantación de identidad por nombre de dominio. Se trata del falseamiento de una relación "Nombre de dominio-IP" ante una consulta de resolución de nombre, es decir, resolver con una dirección IP falsa un cierto nombre DNS o viceversa. Esto se consigue falseando las entradas de la relación Nombre de dominio-IP de un servidor DNS, mediante alguna vulnerabilidad del servidor en concreto o por su confianza hacia servidores poco fiables. Las entradas falseadas de un servidor DNS son susceptibles de infectar (envenenar) el cache DNS de otro servidor diferente (DNS Poisoning).
Con esto lo que haremos será infectar los dns para que nos rediriga a la pagina que queramos con esto también se podría crear un java applet o phishing quien sabe si haga algún tutorial mas adelante sobre eso... pero bueno vamos a hacer dns spoofing con ettercap usando
etter.dnsLo primero que haremos será buscar nuestra ip para redirigir para ello ponemos en una consola:
Nslookup google.comEn este caso redirigiré a google :D
En este caso lo hice en la consola de comandos de windows por que lo tengo en modo puente en una red wifi y no me jala internet en el modem XD!
Como ves google tiene muchas ips en este caso cogeré la que sea...
Addresses: 74.125.227.100, 74.125.227.105, 74.125.227.98, 74.125.227.101,74.125.227.97, 74.125.227.110, 74.125.227.102, 74.125.227.103, 74.125.227.99,74.125.227.96, 74.125.227.104Vamos a abrir el etter.dns si no sabes donde se encuentra tipea en la terminal:
Locate etter.dnsComo ven se encuentra en /usr/local/share/ettercap/etter.dns
Lo abrimos con gedit para ello ponemos en la terminal:
sudo gedit /usr/local/share/ettercap/etter.dnsAhora esta esto:
microsoft.com A 198.182.196.56
*.microsoft.com A 198.182.196.56
www.microsoft.com PTR 198.182.196.56 # Wildcards in PTR are not allowed
que dice que si entras a Microsoft.com te redirigira a la ip 198.182.196.56
o *.microsoft.com en este caso * seria cualquier carácter www. http:// y la redirección a la misma ip anterior 198.182.196.56
en este caso nosotros redirigiremos todo el trafico de cualquier pagina a la ip de google y comentaremos esas líneas:
#microsoft.com A 198.182.196.56
#*.microsoft.com A 198.182.196.56
#www.microsoft.com PTR 198.182.196.56 # Wildcards in PTR are not allowed
Comentamos las lineas agregandole #
Y ponemos la nuestra:
* A 74.125.227.100Podríamos poner por ejemplo si queremos hacer phishing a Hotmail o a facebook seria
*.facebook.com A laipdenuestrophishingmontadoenapache:PAhora salvamos y abrimos ettercap en una terminal tipeamos:
Ettercap –G –Ettercap en modo grafico
Vamos a
Sniff>unified sniffing>ahí seleccionas tu red sino sabes cual es pon ifconfig en una terminal:Como ves en mi caso seria eth0
Entonces selecciono esa...
Ahora host>scan for hostEsto escanea toda la red en busca de ips activas en red local :D
Cuando termine (es cuando dice algo como 4
hosts added to the hosts list...)
vamos a host>host listAhora este paso es de los mas importantes
Seleccionamos la ip victima y le damos add to target 1
Seleccionamos la ip del modem y le damos add to target 2Muchas veces no sabes quien eres pues con ifconfig puedes saber tu ip :D , y si no sabes cual es el modem con un simple escaneo de nmap a toda la red lo puedes saber:
nmap -sP 192.168.1.0/24 esto ya lo explique en el de ataque man in the middle :P
en mi caso yo ya los agregue
Ahora vamos a mitm>arp poisoning>chequeamos los dos parámetros que vienen ahí sniif remote conections, only poison on-way y le damos okAhora vamos a plugins>manage the plugins>ahí buscamos dns spoof y le damos enter
Vamos a start>start sniffingAhora si vamos a nuestra maquina victima y ponemos cualquier web como facebook nos redirige a google
En este caso entre a google pero me redirige a google
Y me carga google :D
Si miramos en ettercap:
Vemos como hemos spoofeado en este caso creo que fue el antivirus xD! Pero bueno igual spoofeo el facebook :D y todas las paginas que visite...
Ahora si miramos las tablas arp de la victima:
Estamos actuando como router :D
Saludos amigos :D
Referencias:
Underc0de
Flu-project
buen tutorial, se puede aprovechar esta tecnica para robar contraseñas mediante un scam en una red LAN
salu2
Este es el tema que estoy interesado aprender, pero he tenido algunas dificultades..
checare en detalle el tuyo..
....Saludos --->
Hola ya he abierto un post, sobre esto pero nadie fue capaz de aclararme la duda por eso te la comento aqui, puesto que es del mismo tema. Realizo un man in the middle, y acontinuacion un dns spoofing como tu has explicado. Yo en vez de redirigir a otro servidor, lo redirijo a un servidor propio montado con xampp. Entonces la victima cada vez que ingresa la contraseña se redirige a mi FAKE, mi problema es que de ahi no pasa pues siempre redirige al FAKE y se qeda ahi pillado y si de repente corto el envenenamiento eso tarda un rato, y tarde o temprano la victima se acaba por dar cuenta.
Todo esto realizado en una LAN, contralada por mi.
Alguna solucion para esto ???;)