DNS Spoofing

Curso de Pentesting a Redes

Introducción al pentesting a redes

Bienvenida y presentación de la estructura del curso

Laboratorios para el curso

Modelo de ataques

Direccionamiento dinámico

Protocolos de enrutamiento dinámico

Configuración de protocolos de enrutamiento dinámico

Configuración de enrutamiento dinámico

Configuración de segundo enrutador y verificación de tablas de enrutamiento

Configuración de NAT y redireccionamiento

Análisis de DNS

Ataques a protocolos de red

ARP Poisoning

DNS Spoofing

DHCP Spoofing

Encapsulado de paquetes con Scapy

Ataques a protocolos de enrutamiento

Verificación de ataques a protocolos de enrutamiento

Análisis de NAT

Ataque NAT Bypass

Ataques de ingeniería social

Introducción a la Ingeniería Social

Credential Harvesting

Preparación de ataques con SET y Metasploit

Ejecución de ataques con SET y Metasploit

Ataques de denegación de servicio

Modelo de un ataque DoS

Ataques ICMP y SYN Flood

Ataques Smurf y DoS con Metasploit

Ataques con LOIC

Pentesting con DoS

Ataques a redes inalámbricas

Configuración de entorno para auditoría WiFi

Monitoreo de redes WiFi

Ataque a WEP

Ataque a WPA

Conclusiones, creación de informe y bibliografía

Elaboración de informe

Despedida, bibliografía y cierre

You don't have access to this class

Keep learning! Join and start boosting your career

If you already have an account,

Resources

How to amplify an AirPuffin attack with DNS spoofing?

In the fascinating and challenging world of computer security, one of the most critical aspects is to understand how certain attacks can be conducted to effectively protect ourselves. This article delves into how to extend an AirPuffin attack by implementing DNS spoofing attacks. Get ready to delve into advanced traffic infiltration and redirection techniques as we explain the methodology and steps involved in this process.

What is and how do I set up an attack environment in Kali Linux?

To begin with, it is vital to set up a controlled environment where you can safely execute attacks. Using Kali Linux, you are going to simulate a Man-in-the-Middle attack with a tool known as ettercap:

Configure ettercap:
- Start ettercap with the Unified option to use a single interface:
```
ettercap -at eth0
```
  .
- Stop conflicting processes before starting capture with ettercap --silent.
Host scan:
- Perform a scan to identify the IP addresses of devices present on the network segment.
- Assign the target IP address as target 1 and the gateway IP as target 2.
Initiate ARP attack:
- Launch the ARP spoofing attack to intercept traffic between the client and the server.

How to configure a DNS spoof attack?

Once you have successfully intercepted the traffic, it is time to configure the DNS spoof attack, which will allow you to redirect the domains requested by the victim to IP addresses of your choice.

Edit ettercap configuration files:
- Modify the etter.dns file to specify the resolution of domain names you want to intercept:
```
*.twitter.com TO 10.0.0.3*.facebook.com TO 10.0.0.3.
```
- Make sure that the IP corresponds to that of your attacking machine.
Configuration of permissions and privileges:
- Verify that in the etter.conf file, the ec_uid and ec_gid values are set to zero to allow ettercap to run with administrator privileges:
```
ec_uid = 0ec_gid = 0.
```
Traffic redirection:
- Enable traffic redirection so that traffic to the spoofed domain is answered by your own server in Kali Linux.

How to verify and adjust the spoofing operation?

To confirm that the attack is running successfully, a couple of additional actions and checks can be performed:

Execute DNS queries from the victim machine:
- Use tools to send DNS requests and verify that you are receiving the spoofed DNS traffic:
```
dig @8.8.8.8.8 twitter.com
```
- Check that the DNS response comes from the IP configured in etter.dns.
Start an Apache web server:
- Make sure you have an Apache server running to serve a fake web page when directing traffic to your server's IP address:
```
sudo service apache2 start
```
  .
Modify the web content:
- Edit the default page to reflect the fake content you want to display to the user.

What can we learn and how to practice more?

The success of these attack tactics underscores the vital importance of computer security. To further deepen and practice, Platzi offers various courses in HTML, CSS, web design and Linux server administration. This will help you get better at not only building better fake web pages, but also at understanding the broader network and server infrastructure.

In addition, an interesting challenge would be to experiment with translating domain names for different IP addresses and different services. This practice may reveal subtleties and variations in behavior depending on the domain and network environment. Try different combinations and share your results and observations in the comments section!

Contributions 17

Questions 9

Sort by:

Want to see more contributions, questions and answers from the community?

Valentin Francisco Blanco

3 years ago

DNS Spoofing en 2022:
En mi caso para que funcione el ataque tuve que realizar configuraciones extra para que Ettercap no crashee:

#Estando como sudo

#Cambiar "enp2s0" porel nombre de tu interfaz de red.
echo 0 > /proc/sys/net/ipv6/conf/enp2s0/use_tempaddr

#Habilitamos el reenvío de paquetes en el sistema. 
echo 1 > /proc/sys/net/ipv4/ip_forward

Tambien, en el archivo “/etc/ettercap/etter.conf” hay que descomentar las lineas de redireccion IPv6:

#---------------
#     Linux 
#---------------

   redir_command_on = "iptables -t nat -A PREROUTING -i %iface -p tcp -d %destination --dport %port -j REDIRECT --to-port %rport"
   redir_command_off = "iptables -t nat -D PREROUTING -i %iface -p tcp -d %destination --dport %port -j REDIRECT --to-port %rport"

# pendant for IPv6 - Note that you need iptables v1.4.16 or newer to use IPv6 redirect
   redir6_command_on = "ip6tables -t nat -A PREROUTING -i %iface -p tcp -d %destination --dport %port -j REDIRECT --to-port %rport"
   redir6_command_off = "ip6tables -t nat -D PREROUTING -i %iface -p tcp -d %destination --dport %port -j REDIRECT --to-port %rport"

Así y todo el ataque tiene problemas a la hora de spoofear paginas que tengan certificado SSL.

tobiassanjuan

5 years ago

Yo creo que tendría que explicar un poco mas técnico lo que se esta haciendo.

“La suplantación de DNS, también conocida como envenenamiento por caché DNS, es una forma de piratería informática en la que se introducen datos corruptos del DNS en la caché del solucionador de DNS, lo que hace que el servidor de nombres devuelva un registro de resultados incorrecto, por ejemplo, una dirección IP. Esto da lugar a que el tráfico se desvíe al equipo del atacante (o a cualquier otro equipo).” Wikipedia.

Alfrematico

5 years ago

Kali tiene herramientas que permiten crear una página identica a la que quieres suplantar

Facundo Eschoyez

5 years ago

Hice los pasos en los archivos etter.dns y etter.conf exactamente como en el video, ademas de iniciar el servicio apache2. Cuando en la maquina de lubuntu inicio twitter o facebook, no se redirige a la pagina de apache de la maquina de kali… sino a la pagina oficial. Si alguien sabe porque o tiene algun consejo se lo agradeceria

Carlos Antonio Salazar Hernández

4 years ago

hey listen! :v
-Confirmo un comentario de @Kevin Reyes, no se puede con paginas tan populares, es mas, ni tumblr y esa cosa esta bien abandonada.
intenten con paginas mas básicas/impopulares por cuestión de practica, pero si realmente lo quieren hacer buscaran 😃
-si ettercap se cierra en el momento que ponen la palomita del inicio, posiblemente siguieron la recomendación del compañero que sugiere cambiar el par de líneas de “etter.conf”, regrésenlas como estaban.

d1c0

5 years ago

la herramienta SET Toolkit esta muy bien, clona una web para capturar las contraseñas

c3tuxpo2018

2 years ago

Cual seria una medida de control valida para impedir el dns Spoofing ?

Yerson Steven Rojas Barragan

3 years ago

Actualamente ettercap tiene otras configuraciones. Abajo o arriba mi compañero valentin explcia las configuracioenes.

DNS Spoofing - Platzi — Mozilla Firefox.jpg

Oscar Jaramillo

4 years ago

DNS spoofing es un método para alterar las direcciones de los servidores DNS que utiliza la potencial víctima y de esta forma poder tener control sobre las consultas que se realizan.

Wilson Gustavo Chango Sailema

5 years ago

Kevin Reyes

4 years ago

Si no les sale el apache al entrar a la pagina, intenten poner una menos reconocida y menos segura que no se porque pero con las mas famosas no me permite hacer el fake

9 months ago

Me pare muy buen programa, pero seria aun mas completo si nos mostraras también la FORMA de como repeler este tipo de Ataques ARP.

Sánchez Antonio

2 years ago

actualmente casi no funciona para ningúna web, se ha mejorado mucho la seguridad desde entonces.

Kevin Daniel Fondevila Ricardo

3 years ago

Increíble , hay que estar mas alertas a este tipo de ataques.

johanaguadalupeesquedagarcia

5 years ago

Hola Platzi, me pueden ayudar. Hice todos los pasos del profesor pero no me resulta.
Entre a mi maquina Kali, desde terminal 

dhclient -r eth0
dhclient eth0
Tengo salida con ping 8.8.8.8
Tengo respuesta con host www.platzi.com
Alcanzo mi maquina Ubuntu con un ping
Abrí ettercap en eth0
puse stop en ettercap
busque host (me detecto mi maquina Ubuntu y mi puerta predeterminada)
coloque Target 1 la maquina Ubuntu
Target 2 mi puerta predeterminada
inicie ARP poisoning desde MITM
habilite plugin de dns_spoof
fui a mi terminal y coloque gedit /etc/ettercap/etter.dns
Agregue el siguiente codigo
twitter.com      A   ipKali
*.twitter.com    A   ipKali
www.twitter.com  PTR ipKali     # Wildcards in PTR are not allowed


facebook.com      A   ipKali
*.facebook.com    A   ipKali
www.facebook.com  PTR ipKali     # Wildcards in PTR are not allowed

Luego coloque gedit /etc/ettercap/etter.conf
coloque el siguiente codigo
ec_uid = 0            # nobody is the default
ec_gid = 0                # nobody is the default

#---------------
#     Linux 
#---------------
   redir_command_on = "iptables -t nat -A PREROUTING -i %iface -p tcp -s %source -d %destination --dport %port -j REDIRECT --to-port %rport"
   redir_command_off = "iptables -t nat -D PREROUTING -i %iface -p tcp -s %source -d %destination --dport %port -j REDIRECT --to-port %rport"


Leí un comentario de la comunidad de Platzi en donde te dicen que intentes colocar la siguiente configuración. Lo hice, primero resetee los valores a default de los archivos etter.dns y etter.conf y luego apague mi maquina, volví hacer los pasos igual a los ya mencionados hasta este punto configure en la parte de Linux estos nuevos parametros. Y seguí igual con los siguientes pasos.

#---------------
#     Linux 
#---------------
redir_command_on = "iptable -t nat -A PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport"

redir_command_off = "iptable -t nat -D PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport"

Di start en attercap
Abrí wireshark desde Kali en eth0.

En ambas ocasiones continue los pasos pero al ingresar en la terminal de Ubuntu el comando host twitter.com
me arroja twitter.com has address 104.244.42.1
Ni siquiera me reconoce que redireccione a la ip de Kali. Continue con la clase pero me redirecciona al sitio oficial.


Les dejo las versiones que estoy usando.
ettercap 0.8.3
Debian 5.7.6-1kali2

Oscar Jaramillo

4 years ago

Excelente clase

Julián Mejia

5 years ago

Excelente.