DNS-PoisoningEn la entrada de hoy, os mostraré como realizar un ataque DNS Spoofing en una red de area local, normalmente no suelo trabajar con Windows, pero en esta entrada lo utilizaremos, dado que la herramienta que vamos a trabajar solo está disponible para este SO.

La herramienta se llama Cain&Abel, y la podéis descargar de su pagina oficial AQUI, puede que vuestro navegador os indique que estáis a punto de descargar una herramienta potencialmente peligrosa, de igual manera somos conscientes del uso de ella y aceptamos para descargarla.

Antes de realizar el ataque os comentaré un poco en que consiste este ataque.

¿En qué consiste el ataque?

El ataque DNS Spoofing consiste en alterar las direcciones de los servidores DNS que utiliza la víctima, de esta manera tomar el control sobre las consultas que la víctima realiza.

dnsspoofing

Los servidores DNS son los encargados de transformar los nombres de dominios en IP y viceversa, de esta manera no tenemos que recordar las direcciones IP de cada servicio a los que accedemos, por ejemplo si quisiéramos visitar Facebook, únicamente accederíamos a Facebook.com y no a su IP, mucho mas fácil de recordar. ¿O te acuerdas de la IP de Facebook?

¿Para qué se hace este ataque?

Aprovechando este ataque, permite beneficiarse de la ruta de comunicación cuando una victima consulta un sitio web, de esta forma un atacante podría clonar la pagina de inicio de Facebook o cualquier otra pagina, montarla en un servidor propio y redirigir el trafico hacia su servidor malicioso, esta técnica es conocida como Phising y se suele utilizar para el robo de credenciales.

¿cómo se puede evitar este ataque?

Es muy importante deshabilitar la opción de gestión remota de los routers (para ataques de fuera de la red local) que por defecto suelen venir siempre activadas, muy importante  también mantener el sistema operativo actualizado.

Otro punto para tener en cuenta es la verificación de las conexiones a sitios que utilizan cifrado. Es importante prestar atención al protocolo ya que, por ejemplo, si un sitio utiliza HTTPS y cuando se accede utiliza HTTP, el usuario podría estar accediendo a un sitio falso réplica del original.

Pasos para realizar el Ataque DNS Spoofing

1) Descargar Cain&Abel del enlace anteriormente publicado e instalarlo en el PC (aceptar también la instalación de WinPcap), si no, no podremos realizar el ataque.

descargacain

2) Desactivar el Firewall de Windows y ejecutar Cain&Abel siempre como administrador.

3) Vamos a la pestaña “Sniffer”, y activamos la opción “Sniff”, después vamos al icono + para realizar un escaneo a la red de los dispositivos que se encuentran conectados a ella.

cain

4) Vamos a la pestaña ARP situada en la parte inferior.

cain2

5) “Click” en la ficha de ARP (se nos habilitará el botón + para elegir entre que dispositivos queremos hacer el ataque).

cain3

6) En la siguiente ventana, elegiremos la puerta de enlace (Router) que normalmente suele tener la IP 192.168.1.1, y el dispositivo que queremos atacar, es decir, nos queremos posicionar en la ruta de la comunicación entre la puerta de enlace y el dispositivo víctima.

cain4

7) “Click” en el botón envenenamiento ARP, situado en la parte superior.

cain5

8) Una vez que está activado el envenenamiento, vamos a la pestaña de la izquierda llamado “ARP-DNS” y hacemos “Click derecho”.

cain6

9) Nos aparecerá un dialogo, el cual deberemos especificar el nombre de dominio que queremos suplantar (parte superior) y la direccion IP a la cual se reenviara el trafico (parte inferior) cuando la victima visite el sitio a suplantar.

En la IP podemos poner por ejemplo, la IP de un servidor malicioso con una pagina de acceso de Facebook clonada (para hacer phising y obtener las credenciales), o bien la IP de otra web totalmente distinta, por ejemplo poner la IP de una pagina XXX.9

Como nota comentaros que si queréis saber la IP de un sitio web, basta con abrir la consola de comandos y teclear:

ping [nombre-de-dominio]

Tened cuidado con este tipo de ataques y verificar siempre el sitio al cual accedéis.

Saludos!!!!!!


Javier Olmedo

Consultor de Ciberseguridad e Investigador de Seguridad de Aplicaciones Web en mi tiempo libre, Técnico en Sistemas Informáticos y Técnico Superior en Desarrollo de Software, apasionado de la [In]Seguridad Informática.

6 commentarios

Deja tu comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.