Dns spoofing

Un article de SeRoM - Wiki.

Sommaire 1 Description 2 Installation 3 Mise en oeuvre 3.1 Description de l'exemple 3.2 Réalisation 4 Conclusion

[modifier] Description

L'objectif de cette attaque est de rédiriger, à leur insu, des Internautes vers des sites pirates. Concrètement, le but du pirate est de faire correspondre l'adresse IP d'une machine qu'il contrôle à un nom réel et valide d'une machine publique.

[modifier] Installation

apt-get install dsniff

Il faut activer l'ip_forwarding pour que cela fonctionne:

echo 1 > /proc/sys/net/ipv4/ip_forward

[modifier] Mise en oeuvre

[modifier] Description de l'exemple

Soit la machine cible (victime) 192.168.2.157, sa passerelle par défaut 192.168.2.1 et la machine du pirate 192.168.2.129. Le pirate accède au réseau local via sa carte réseau sans fil, étant eth2 dans son cas.

[modifier] Réalisation

Une fois l'ARPSPOOFING lancé, tous les paquets allant de 192.168.2.157 (la victime) vers 192.168.2.1 (la gateway) sont interceptés et sont envoyés sur la machine du pirate: 192.168.2.129

Ceci fait, on va utiliser dnsspoof pour remplacer le serveur DNS de la machine victime.

dnspoof -i eth2

Le simple fait de mettre cette ligne, la machine pirate renverra pour toutes les requêtes DNS de la victime, l'IP du pirate. dnsspoof accepte aussi un paramètre: -f file Celui-ci permet de spécifier son propre fichier hosts et donc rediriger tel ou tel site, vers telle ou telle IP (contrôlée par le pirate bien sûr).

La victime voulant aller sur un site, sa requête est redirigée chez le pirate, celui-ci regarde dans son fichier hosts si le nom demandé se trouve dedans, si oui la machine pirate renvoie la nouvelle ip associée à ce nom. Si non, il est possible de rediriger les autres requêtes vers la passerelle, celle-ci répondra à la victime. Transparence totale.

[modifier] Conclusion

Grace à ce mécanisme, un pirate peut faire croire à un internaute qu'il est sur un certain site (le site de sa banque), alors qu'il est en fait sur une copie du site officiel, mais sur une machine du pirate. Celui-ci pourra alors récupérer les login et mots de passe de l'internaute, et profiter de ceux-ci à l'insu de la personne. Cette technique est apellée: phishing.