Boas a todos.
Neste tutorial vamos ver como se procede num ataque de DNS Spoofing. Isto é uma iniciação prática.
Antes de começar, é bom compreender o que é o DNS.
O ataque consiste, basicamente, no seguinte:
[li][*] O atacante compromete um servidor DNS, trocando o IP de um domínio.[*] Um cliente tenta acessar o domínio, mas é redirecionado ao seu IP pelo servidor DNS comprometido.
[/li]
Qual a motivação? Geralmente, DNS Spoofers (praticantes do DNS Spoofing) têm sua meta baseada em ganhar dinheiro (banking). Assim, atacam páginas de compras para se obter dados de cartões de crédito.
Outro motivo também é conseguir senhas de redes sociais.
Tenha em mente que o único que se responsabilizará por seus atos é apenas você. Além disso, ter este conhecimento não caracteriza crime. Utilizá-lo para atividades ilegais já o caracteriza.
Vamos, para isso, utilizar o Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar..., um poderosíssimo sniffer que trabalha com uma infinidade de protocolos.
Para já dar uma introdução, vamos digitar:
Será exibido a ajuda do EtterCap, mostrando seu uso. É relativamente simples:
ettercap (opções) (alvo)
Tudo certo, vamos começar.
-+-
Precisaremos editar o arquivo "ettercap.dns". Geralmente (no Linux) ele está em "/usr/share/ettercap/etter.dns" ou "/usr/local/share/ettercap/etter.dns".
Caso você não o encontre, utilize o comando "locate".
Vamos editá-lo com o nano, por exemplo.
Veja que, em dado momento, ele brinca que vai fazer um DNS Spoofing no site da Microsoft, e redirecioná-lo para o site do Linux (parabéns!).
O ícone '#' indica um comentário (o mesmo que '//', '/*', '-- ', '' (ASP)' etc).
Tá legal que eu odeio a Microsoft, mas odeio o Orkut ainda mais. Então, vamos alterar o domínio para o do Orkut.
Quando ao endereço IP, você terá que colocar o endereço da máquina para a qual irão as requisições.
Se for a sua, cuidado para não colocar endereços loopback (127.0.0.1). Rode ifconfig (ou ipconfig no Windows) ou acesse Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar... ou Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar... para obter seu IP externo.
Ok, salve o arquivo (Ctrl + O) e feche o nano (Ctrl + X).
Vamos agor obter sua interface de rede.
Digite ifconfig. Aparecerá uma lista com interfaces de rede em uso.
Procure ali seu endereço IP externo atual e obtenha o nome da interface.
Ethernet geralmente é 'eth0'. Wi-fi geralmente é 'wlan0' e 3G geralmente é 'ppp0' (mas geralmente é impossível efetuar este tipo de ataque com conexão 3G).
Ainda no terminal, vamos começar o ataque propriamente dito.
Devemos dizer ao EtterCap que queremos que ele funcione em modo texto (-T), que coloque a placa de rede em modo monitor (-q), que faça redirecionamento Man in the Middle (-M arp), que utilize a interface de rede eth0 (-i eth0) e que use o plugin dns_spoof (-P dns_spoof //). Veja:
Feito isso, todos em sua rede que tentarem acessar o Orkut serão redirecionados para a sua máquina.
Você pode usar seu servidor Apache para hospedar, por exemplo, páginas fake.
Como me proteger? Há diversas maneiras de proteger. O próprio firewall IPTables, padrão do Linux (e infinitamente superior ao Firewall do Windows) já possibilita alguma proteção.
Mas você também pode utilizar uma ferramenta especializada nisso, gratuita e de código aberto. Trata-se do Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar....
Veja, numa rede desprotegida, como todos os computadores são obrigados a passar pela máquina do atacante antes de ir para o proxy/gateway:
Agora, numa rede protegida com ArpON, todos os computadores - inclusive o do atacante - são obrigados a passar pelo proxy/gateway antes de chegar à internet, da forma que deve ser feita.
-+-
Este é um ataque que pode comprometer a imagem e integridade de seu website, a segurança de seus usuários e o seu dinheiro.
A solução oferecida é gratuita. Com certeza vale à pena se proteger.
Use seus conhecimentos com moderação.
Neste tutorial vamos ver como se procede num ataque de DNS Spoofing. Isto é uma iniciação prática.
Antes de começar, é bom compreender o que é o DNS.
Domain Name System é um sistema elaborado após a divulgação da internet, que consistia em atribuir nomes de domínios à endereços IP.
Por exemplo, se você faz uma requisição contra guiadohacker.com.br, um servidor DNS converte esse endereço (nome de domínio) em um endereço IP (50.23.39.10).
Você pode ver os endereços IP por trás dos domínios usando o comando "resolveip <dominio ou ip>" no Linux. No Windows, você pode utilizar o "ping", mesmo que não tenha sido feito para isso.
O verbo no infinito "to spoof" em inglês significa "falsificar". Desta forma, DNS Spoofing quer dizer "falsificação de DNS".Por exemplo, se você faz uma requisição contra guiadohacker.com.br, um servidor DNS converte esse endereço (nome de domínio) em um endereço IP (50.23.39.10).
Você pode ver os endereços IP por trás dos domínios usando o comando "resolveip <dominio ou ip>" no Linux. No Windows, você pode utilizar o "ping", mesmo que não tenha sido feito para isso.
O ataque consiste, basicamente, no seguinte:
[li][*] O atacante compromete um servidor DNS, trocando o IP de um domínio.[*] Um cliente tenta acessar o domínio, mas é redirecionado ao seu IP pelo servidor DNS comprometido.
[/li]
Qual a motivação? Geralmente, DNS Spoofers (praticantes do DNS Spoofing) têm sua meta baseada em ganhar dinheiro (banking). Assim, atacam páginas de compras para se obter dados de cartões de crédito.
Outro motivo também é conseguir senhas de redes sociais.
Tenha em mente que o único que se responsabilizará por seus atos é apenas você. Além disso, ter este conhecimento não caracteriza crime. Utilizá-lo para atividades ilegais já o caracteriza.
Vamos, para isso, utilizar o Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar..., um poderosíssimo sniffer que trabalha com uma infinidade de protocolos.
Eu sou usuário da distribuição Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar.... Entre suas vantagens, está a utilização de repositórios de pacotes muito eficientes.
Distribuições baseadas no Debian (como Ubuntu) também dispõe desse benefício. Apenas entre no terminal e, como root (ou usando o 'sudo'), digite:
No Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar... há o código-fonte do Ettercap.
Se você utiliza Windows, o website Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar... disponibilizou uma Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar... da ferramenta, e também do Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar.... Mas, já aviso: não testei os links, não sei se realmente funcionam e não dou garantia. Baixe por sua própria conta e risco.
Além disso, este tutorial enfatiza a prática no Linux.
BackTrack e BlackBuntu já possuem essa ferramenta.
O EtterCap dispõe de uma GUI (interface gráfica), mas acredito que o que nos dará maior poder de fogo será a linha de comando.Distribuições baseadas no Debian (como Ubuntu) também dispõe desse benefício. Apenas entre no terminal e, como root (ou usando o 'sudo'), digite:
Código:
# apt-get install ettercap
Se você utiliza Windows, o website Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar... disponibilizou uma Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar... da ferramenta, e também do Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar.... Mas, já aviso: não testei os links, não sei se realmente funcionam e não dou garantia. Baixe por sua própria conta e risco.
Além disso, este tutorial enfatiza a prática no Linux.
BackTrack e BlackBuntu já possuem essa ferramenta.
Para já dar uma introdução, vamos digitar:
Código:
# ettercap --help
ettercap (opções) (alvo)
Tudo certo, vamos começar.
-+-
Precisaremos editar o arquivo "ettercap.dns". Geralmente (no Linux) ele está em "/usr/share/ettercap/etter.dns" ou "/usr/local/share/ettercap/etter.dns".
Caso você não o encontre, utilize o comando "locate".
Código:
# cd / # locate etter.dns
Código:
# nano (localização)
Código:
# microsoft sucks ;) # redirect it to www.linux.org # microsoft.com A 192.168.1.185 *.microsoft.com A 192.168.1.185 www.microsoft.com PTR 192.168.1.185
Tá legal que eu odeio a Microsoft, mas odeio o Orkut ainda mais. Então, vamos alterar o domínio para o do Orkut.
Quando ao endereço IP, você terá que colocar o endereço da máquina para a qual irão as requisições.
Se for a sua, cuidado para não colocar endereços loopback (127.0.0.1). Rode ifconfig (ou ipconfig no Windows) ou acesse Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar... ou Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar... para obter seu IP externo.
Código:
orkut.com A 123.456.789.101 *.orkut.com A 123.456.789.101 www.orkut.com PTR 123.456.789.101
Vamos agor obter sua interface de rede.
Digite ifconfig. Aparecerá uma lista com interfaces de rede em uso.
Procure ali seu endereço IP externo atual e obtenha o nome da interface.
Ethernet geralmente é 'eth0'. Wi-fi geralmente é 'wlan0' e 3G geralmente é 'ppp0' (mas geralmente é impossível efetuar este tipo de ataque com conexão 3G).
Ainda no terminal, vamos começar o ataque propriamente dito.
Devemos dizer ao EtterCap que queremos que ele funcione em modo texto (-T), que coloque a placa de rede em modo monitor (-q), que faça redirecionamento Man in the Middle (-M arp), que utilize a interface de rede eth0 (-i eth0) e que use o plugin dns_spoof (-P dns_spoof //). Veja:
Código:
# ettercap -T -q -M arp -i eth0 -P dns_spoof //
Você pode usar seu servidor Apache para hospedar, por exemplo, páginas fake.
Como me proteger? Há diversas maneiras de proteger. O próprio firewall IPTables, padrão do Linux (e infinitamente superior ao Firewall do Windows) já possibilita alguma proteção.
Mas você também pode utilizar uma ferramenta especializada nisso, gratuita e de código aberto. Trata-se do Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar....
Veja, numa rede desprotegida, como todos os computadores são obrigados a passar pela máquina do atacante antes de ir para o proxy/gateway:
Agora, numa rede protegida com ArpON, todos os computadores - inclusive o do atacante - são obrigados a passar pelo proxy/gateway antes de chegar à internet, da forma que deve ser feita.
-+-
Este é um ataque que pode comprometer a imagem e integridade de seu website, a segurança de seus usuários e o seu dinheiro.
A solução oferecida é gratuita. Com certeza vale à pena se proteger.
Use seus conhecimentos com moderação.
Comment