|En WIN visualisar con "wordpad"| ___________________________________________ / -=Spoofing N-2=- / / / /By Powertech 5/5/1900 /____________ / Powertech@mixmail.com /Hecho con / / /UW PICO 3.5 / /Ezkracho Tm / -----------/ /Http://www.ezkracho.com.ar / _|____________________ \__________________________________________\ /Yeah My ASCII Art SUX/ --------------------- ---[Indice] / [Palabras del autor ............1] \ [ARP spoofing ..............2] / [DNS spoofing ..................3] \ [Previniendo IP Spoof.......4] / [Previniendo ARP Spoof..........5] \ [Previniendo DNS Spoof......6] / [Palabras Finales...............7] \ [Comunicate con el autor....8] / "Pain made to order!" Slipknot ----[1][Palabras del Autor] Bueno este texto esta dedicado a todas aquellas personas Interesadas en la Seguridad Informatica, Admins de Redes. Vamos a tocar Varios temas relacinonados con el Spoofing y como prevenirlo en plataformas *NIX en general que pueden ser Linux 2.2.x, OpenBSD, FreeBSD y BSD en general. Los usuarios del sistema operativo Windows/9x/NT/2k estan casi desprotegidos totalmente, salvo si estan atras de algunas de las plataformas nombradas o de un Router o/y Firewall. Bueno, espero que lo disfruten igual que lo disfrute escribiendolo. Powertech. ----[2][ARP Spoofing] ARP Spoofing es la variacion de IP Spoofing porque explota una debilidad del protocolo TCP/IP. ARP "authentification" es tambien basado en la "Source Adress" direccion de donde provienen los paquetes, lo que lo diferencia a ARP es que se fija en una direccion en el Hardware. Para verla, lo hicelo siguiente : [toor@powertech toor]# ifconfig eth0 ne2k-pci.c: PCI NE2000 clone 'Winbond 89C940' at I/O 0x6400, IRQ 9. eth0: Winbond 89C940 found at 0x6400, IRQ 9, 00:00:E8:57:82:6B.<-\ eth0 Link encap:Ethernet HWaddr 00:00:E8:57:82:6B <--------|Hwaddr BROADCAST MULTICAST MTU:1500 Metric:1 Interrupt:9 Base address:0x6400 Para los que quieren saber exactamente que es la HWaddress: son valores unicos, que estan "quemados" en tu targeta de red por el fabricante, que identifica tu direccion fisica. Estas consisten en 48-bits (12 caracteres). Un ejemplo de una direccion de hardware es esta: HWaddr 00:00:E8:57:82:6B Si no estan conformes lean HWAddress HOWTO http://network.uhmc.sunysb.edu/hdw_addr ARP significa en ingles "Address Resolution Protocol". ARP resuelve la IP a una direccion fisica. Cuando un host quiere una sesion, manda para afuera un ARP broadcast llevando la IP de su objetivo deseado. Sin embargo, por conveniencia, nuestro sistema crea lo que se podria llamar "ARP cache" asi la maquinas se pueden conectar a Host conocidos mas rapidamente sin hacer un broadcast. Es con este cache que los atacantes pueden utilizarlo para spooferase ya que lo que guarda es la hardware address. En el ARP spoofing, el atacante mantiene su HWaddress pero asume el IP de un trusted Host, para hacerlo el atacante manda "la informacion de mapeo" al objetivo y al cache. Desde ese punto, los paquetes provenientes del objetivo son ruteadas hasta la HDaddress del atacante. Desde ahora el objetivo piensa que el atacante es un trusted host. ----[3][DNS spoofing] DNS spoofing es cuando el atacante compromete al Domanin Name Server (DNS) y altera la tabla con los Hostnames y IP. Estos cambios son escritos adentro de la base de datos de traduccion del DNS server. Cuando el cliente hace un nslookup a un host el DNS le da la IP y tambien el reves, esta direccion queda en la manos del atacante. Normalmente ejemplo: [toor@powertech toor]# nslookup www.ezkracho.com.ar Server: relay3.impsat1.com <|____Nuestro DNS Address: 200.31.1.8 <------| Non-authoritative answer: Name: www.ezkracho.com.ar Address: 63.65.251.8 [toor@powertech toor]# nslookup www.yahoo.com.ar Server: relay3.impsat1.com <|____Nuestro DNS Address: 200.31.1.8 <------| Non-authoritative answer: Name: ar.yahoo.com Addresses: 200.49.66.82, 200.49.66.83 Aliases: www.yahoo.com.ar, ar.rc.yahoo.com Pero supongamos que el atacante ingresa al DNS de impsat y con un programa que automatize la tarea de cambiar. Si alguien busca www.yahoo.com el DNS le ponge el IP de ezkracho.com.ar, redirecionandolo. Un ejemplo de estos tipo de programas es el paquete de ADM se llama ADMidpkd.tar.gz. Con este programa, tambien si estas en LAN podes poner en funcion el snifer sin igresar al DNS ya que trabaja igual que un snifer normal pone la tarjeta de red en modo promiscuo e intersepta el paquete del Query y lo cambia haciendo lo que comente antes. "hackeado" ejemplo: [toor@powertech toor]# nslookup www.yahoo.com.ar Server: relay3.impsat1.com Address: 200.31.1.8 Non-authoritative answer: Name: ar.yahoo.com Addresses: 63.65.251.8 <-------IP de ezkracho Aliases: www.yahoo.com.ar, ar.rc.yahoo.com Y entonces todos aquellos que usen el DNS de impsat y quiera ir a yahoo veran la pagina de ezkracho. En el paquete de programas que le comente de ADM hay un sniffer que ante CUALQUIER request o query, o como lo llamen lo mandara a ezkracho*. *A la direccion que elijamos. Tambien hay varios programas mas: -=Jizz=- author: unknown OS: *NIX ,MS-DOS -=ERECT=- author: Johan y Dioxide OS:*NIX -=Snoof=- author:DOC_Chaos [RoC] OS:*NIX Los pueden bajar en: http://www.anticode.com ----[4][Previniendo IP Spoofing] -Nota- Para los que no saben de que se trata el IP spoof ni para que sirve, tienen dos textos muy buenos que se llaman "Spoofing muy pero muy facil" de mi amigo CAOS y tienen el numero 1 de este texto "Spoofing N-1" de Powertech :). La mejor manera de prevenir estos ataques son: -Restringir direcciones locales que vengan de la afuera de nuestra RED. -Intentar no tener Trusted Host. -Utilizar SYN Loggers asi se podra detectar si alguien intenta Hacerle un DoS a tu maquina, se preguntaran y porque un SYN logger, bueno porque este ataque es el mas efectivo contra sistemas *NIX, y asi pueden tomar su "identidad". -Utilisar Firewall que trabajen con los modulos del kernel y no un soft que escucha puertos, firewalls recomendados: * IPchains * IPfwadm * IP filter (Si no saben utilizar IPchains les recomiendo que lean del HOWTO que viene con su distro.) - Activar el modulo del kernel rp_filter, en muchas distros lo activan por default por ejemplo Debian, lo que tienen que hacer es poner en /etc/rc.d/rc.local la siguiente linea: echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter Esto tiene que utilisarce con IPchains. -Filtrar servicios que son vulnerables a este ataque por ejemplo: * X Windows * Servicios R, (rlogin, rsh. rexec) * Servicios RCP * TCP Wrappers * Cualquier servicio que use IP para autentificar -Utilisar sevicios con encriptacion integrada ejemplos: * OpenSSH * OpenSSL * SSH * SSH2 * FtpSSL Ya que con conectarse a un puerto y al recibir un par de paquetes se puede calcular secuencia TCP y se puede Spoofear el Servicio. Ademas las conexiones no podran ser "Snifeadas" esto significa que no podran capturar los paquetes, que pueden llevar los datos del login. ----[5][Previniendo ARP Spoof] Ya les explique como es esta ataque aca vemos como protegernos del mismo. Hay muchas maneras de defenderse de esto, la mejor manera es grabar nuestra HWaddr en piedra, pero seria algo incomodo. Los ataques de ARP spoofing son muy limitados en muchas maneras. Una de la maneras es que las nuevas tarjetas de red le hacen un update al cache mas o menos cada 5 minutos haciendo que el ataque no sea de gran riesgo a una red. "ARP": Una Herramienta para manipular tablas de ruteo. ARP, te permite interactuar y manipular el cache de arp, aca voy a explicar como usar esta herramienta: ----------------------------------------------------------------------------- Opcion | Funcion | ----------------------------------------------------------------------------| -a [hostname] | Specifica un host en particular al | | que le queres hacer el query. | | | -d [hostname] | Borra una entrada a un Host en | | particular. | | | -f [archivo de conf.] | Archivo de configuracion. | | | | | -a [hostname] [address_type] | Specifica la HWaddr al Host seleccionado. | | | | | -t [type] | Para las distintas tipo de entrada por ejm: | | ether, ax25, arcnet, and pronet (token ring)| | | | | -v | Para activar el modo Verbose | ----------------------------------------------------------------------------- Si igual quieren estar seguros que no les hagan este ataque instalen en su sitema "ARPwatch" que observa los cambios de IP/Ethernet, se se detectan cambios o nuevas direcciones este programa le envia un mail al root. ----[6][Previniendo DNS Spoofing] DNS spoofing en muy facil detectar. Si sospechas de tu DNS, hace nslookup desde varias maquinas de tu red fijarse en los prosesos , en la tabla cron para ver si estan corriendo un programa "desconosido" o si lo inicia y fijarse si su tarjeta de red esta en modo promiscuo, Salvo si tu DNS haya sido comprometido por algun tiempo va a ser rapidamente decubierta ya que si esto es hecho en un ISP los usuariose quejaran. Pero revisando las maquinas capas no puede ser suficiente, por eso recomiendo que utilisen este fabuloso programa, este se llama DOC (Domain Obsenity Control) que viene con mucha documentacion. DOC es un programa que diagnostica tu DNS mandando distintos Querys y despues analisa el contenido de lo obtenido, DOC lo pueden bajar de: http://coast.cs.purdue.edu/pub/tools/unix/doc.2.0.tar.gz ----[6][Palabras Finales] Bueno este es el final de mi texto, espero que lo hayan disfrutado y haber podido implementar lo que explique. En este texto ayudaron: Inspiracion musical : Slipknot, Cypress Hill, KoRn y 2pac Inspiracion comestible: Hamburgesas de McTonto's (aprovecho para agradecele a mystify por contarme de que eran las hamburgesas jaja), Huevos de pascua vencidos :) -[saludos]- Les mando un saludo a la gente de #linux no voy a nombrar gente porque me voy a olvidar de algunos y se calientan en cambio asi estan todos felices. Saludos especiales a: CAOS \ GiBA \_Ezkracho Team Bach / [Hellraiser] / (Creo que todo esto sono muy cursi, ja) "Lo unico seguro es la inseguridad" ----[7][Comunicate con el autor] Si queres contactarte conmigo o preguntarme algo podes encontrame en los siguientes lugares: Mail: powertech@mixmail.com Web: http://www.ezkracho.com.ar , en el Forum Irc: irc.ciudad.com.ar #linux ICQ: 20484186