DNS spoofing con Ettercap

Il DNS è un protocollo che ha il compito di tradurre gli indirizzi in forma simbolica (es. www.indirizzo.it) in indirizzi IP xxx.xxx.xxx.xxx. Quando nel browser scrivete un indirizzo che intendete visitare, esso scambia informazioni con  il server DNS che restituisce alla vostra macchina l' IP corretto.Con la tecnica di DNS spoofing la richiesta (query) della vittima al server dns, viene catturata dall' attaccante che invia una risposta diversa da quella corretta.Questo tipo di attacco è molto pericoloso, immaginate di voler visitare il sito della vostra banca online ,ma al vostro router è collegato anche qualche malintenzionato, egli potrebbe reindirizzarvi su un falso sito e potrebbe catturare tutti vostri dati sensibili. Con Ettercap questa tecnica è veramente semplice, a patto di essere nella stessa sottorete, vediamo come è possibile implementarla.Immaginiamo questo scenario , un router, due computer connessi, uno della vittima e uno dell' attaccante. La prima operazione da compiere è modificare il file /usr/share/ettercap/etter.dns, supponiamo di volere reindirizzare la vittima a questo indirizzo 85.85.85.85 quando cerca di visualizzare il sito www.test.it , in questo caso basta scrivere in etter.dns:

test.it A 85.85.85.85
*.test.it A 85.85.85.85
www.test.it PTR 85.85.85.85

Quindi salvare il file.

Fatta questa operazione, eseguire Ettercap, aggiungere il router come target1 e la vittima come target2(vedi articolo precedente), poi dal menu "Mitm –> ARP Poisoning"  spuntate l' opzione "sniff remote connections",e dare OK. Ora dal menu "Plugins -> Menage the plugins" selezionate dns_spoof:

Infine dal menu "Start -> Start sniffing".
Quando la vittima cercherà di visualizzare l' indirizzo www.test.it o test.it, verrà reindirizzato all' IP 85.85.85.85.Questo esempio vi dovrebbe mettere in guardia sull' eventuale insicurezza della vostra rete, specie se si tratta di rete wifi, prestate molta attenzione al vostro router e al tipo di protezione che utilizzate.