Para aquellos que no conocen el termino, DNS (Domain Name Server) 0 (Servidor de Nombres De Dominio). Dicho servidor es el encargado de resolver, por nosotros, un nombre de dominio en una dirección de IP. La tarea del DNS es alivianar la memoria del usuario por decirlo de una forma burda. No sería nada sencillo recordar cada número de IP de cada sitio que visitamos frecuentemente. Así, cada vez que queramos visitar “www.mkit.com.ar”, estaremos consultando a un DNS cual es la dirección de IP asociada al nombre de dominio en cuestión.
- Funcionamiento DNS
Generalmente los ISP (Internet Service Provider) son los encargados de otorgar las direcciones de IP de los DNS para nuestro servicio. En la mayoría de los Access Point, la configuración por defecto del DNS queda seteada en "Automática" por lo cual tomara dinámicamente la IP que nuestro proveedor de internet nos provea y la retransmitirá hacia todos los clientes conectados.
El ataque de DNS Spoofing se divide en 2 partes para mayor efectividad:
- Hacerse pasar por el Access Point : Esto se logra haciendo un ARP Spoofing. Ataque ya mencionado en un articulo anterior. Véase ARP Spoof.
- Hacerse pasar por el DNS mediante la utilización de la herramienta dnsspoof del paquete Dsniff.
Toda petición hecha por el usuario para los dominios que el atacante desee reemplazar, van a ser redirigidas hacia donde el usuario malintencionado desee. Así por ejemplo si el atacante tuviese un servidor web corriendo en su maquina con un login de Gmail, cada vez que cualquier usuario pidiera la resolucion del nombre de dominio "www.gmail.com", este sera redirigido hacia la IP del servidor del atacante. Probablemente la pagina sera igual que la original y hasta quizás, pueda entrar en su mail.. Pero algo es seguro.. La credenciales fueron robadas.
La fortaleza de este ataque, reside en que es completamente transparente, el usuario no puede determinar la diferencia entre la pagina de gmail original y la falsa, ya que son idénticas y hasta el nombre de dominio, léase dirección de url si se quiere, es EXACTAMENTE la misma.
- DNS Spoof - ARP Spoof
Alternativas para aquellos usuarios que navegan frecuentemente en redes publicas?
Si se quisiera saber si están siendo victimas de un ataque de Dnsspoof, deberían abrir un CMD en caso de Windows, un Konsole/Terminal en linux, y hacer un ping hacia el dominio al que se quiere acceder :
ping www.dominio.com
Si la IP del dominio a la que son dirigidos los paquetes ICMP es del tipo 192.168.x.x , o en su defecto 10.x.x.x , significa que estamos siendo redirigidos hacia un servidor local dentro de nuestra misma red, ergo, hay un atacante haciendo la resolución de nombres de dominio.
En artículos posteriores vamos a ver otros tipos de ataques que se pueden llevar a cabo mediante estas técnica combinadas "Arpspoof+DnsSpoof". En principio la idea de esta publicación, es demostrar lo facil que es para un atacante conseguir credenciales en redes de acceso público, y cuan transparente es para el usuario. No es el usuario en este caso el que esta siendo engañado, sino que el engaño se da a niveles tecnológicos.
No hay comentarios:
Publicar un comentario