Home > Informatica, Linux, Programmi, manuali, sicurezza > Man In The Middle part II – DNS Spoofing

Man In The Middle part II – DNS Spoofing

2 Dicembre 2008 U-Black Lascia un commento Passa ai commenti

Questa minirubrica dedicata al Man in The Middle oggi ci porta ad approfondire il DNS Spoofing.

I DNS si occupano di “tradurre” gli indirizzi che noi comunemente digitiamo in indirizzi IP. Poniamo di voler contattare il mio server attraverso Firefox, digiteremo l’indirizzo del sito direttamente nella barra degli indirizzi:

esempio-1

ebbene, il servizio DNS tradurrà l’indirizzo http://u-clan.homeunix.org/ in una serie di numeri, ovvero l’indirizzo IP, infatti se noi al posto di u-clan.homeunix.org scrivessimo l’indirizzo IP corrispondente il sito sarebbe comunque raggiungibile.

In realtà l’attacco consiste nel sostituire l’indirizzo IP delle risposte date dal DNS con quello della macchina che useremo per attaccare. Una volta sniffata la “richiesta”, tradotto l’ID del pacchetto DNS creeremo una risposta con lo stesso ID e la invieremo al client prima che il server DNS vero e proprio risponda. Una volta inviata la prima risposta con il falso ID la macchina clienta attaccata invierà tutte le risposte direttamente alla macchina attaccante, quindi creare una connessione ver e propria verso il server reale, quindi fare da proxy tra client e server, oppure fornire solo servizi “fasulli” al client. Il test lo faremo con ettercap:

Poniamo che:

host1=black-hat 192.168.1.3 attaccante

host2=darkstar 192.168.1.2 attaccata

host2 vuole collegarsi al sito microsoft.com (sto usando la configurazione di default di ettercap) e host1 vuole “spoofare” il DNS utilizzato da host1 per la connessione:

black-hat:~# ettercap -T -M arp:remote /192.168.1.2/ /192.168.1.1/ -P dns_spoof

La macchina host1 192.168.1.3 si è finta gateway (vedasi 192.168.1.1) e ha reindirizzato le richieste della macchina host2 192.168.1.2 indirizzate a www.microsoft.com direttamente su Linux Portal, provare per credere.

Le configurazioni per il reindirizzamento delle connessioni è contenuto in:

black-hat:~# nano /usr/share/ettercap/etter.dns

################################
# microsoft sucks ;)
# redirect it to www.linux.org
#

microsoft.com      A   198.182.196.56
*.microsoft.com    A   198.182.196.56
www.microsoft.com  PTR 198.182.196.56      # Wildcards in PTR are not allowed

##########################################
# no one out there can have our domains…
#

www.alor.org  A 127.0.0.1
www.naga.org  A 127.0.0.1

###############################################
# one day we will have our ettercap.org domain
#

www.ettercap.org           A  127.0.0.1
ettercap.sourceforge.net   A  216.136.171.201

Questo piccolo manuale, così come molti altri, sono scritti a scopo puramente didattico, pertanto non ho alcuna responsabilità dell’uso che terzi fanno delle informazioni fornite.

Nel prossimo capitolo tratteremo l’ARP Poisoning

Categories: Informatica, Linux, Programmi, manuali, sicurezza Tag:, , ,
  1. Non c’è ancora nessun commento.
  1. 12 Dicembre 2008 alle 18:27 | #1
    blogring.org