DNS MITM Attack

  

¿Es posible que ellos puedan interceptar sus consultas de DNS y reemplazarlas con las que lo envían a un servidor bajo su control?

Sí, un atacante MITM puede interceptar sus consultas de DNS y cambiar la respuesta para que apunte a un servidor diferente. El protocolo DNS original no tiene seguridad integrada y sus consultas y respuestas se pueden modificar fácilmente. El protocolo DNSSEC es un método posible para prevenir estos ataques al agregar autenticación al tráfico DNS (pero no encriptación).

  

Si estás intentando acceder a un sitio https, me imagino que será un poco más difícil de conseguir [...]

Si es un sitio HTTPS, el atacante no puede simplemente conectarte a un servidor diferente porque tu navegador verifica el certificado TLS del sitio. Si intentan conectarlo a su propio servidor cuando visita https://mybank.com/ , no podrán completar un protocolo de enlace TLS porque no tienen un certificado firmado por CA para mybank.com . En consecuencia, su navegador le advertirá que la conexión no es confiable. Consulte " ¿Cómo funciona SSL / TLS? " para obtener más información.

  

podrían redirigirte a una ortografía incorrecta del dominio real y luego presentar una página de inicio de sesión similar en un intento de robar tus credenciales.

Sí, eso es posible. Pero esto solo funciona si el atacante captura cualquier tráfico HTTP simple donde pueda inyectar su redireccionamiento malicioso. Si las víctimas usan HTTPS desde el principio, no hay forma de que el atacante lo redireccione a un dominio diferente. HSTS es una técnica para prevenir estos ataques de redirección (y degradación ataques en general). Es un encabezado HTTP que los sitios web pueden enviar a los usuarios para que siempre visiten su sitio a través de HTTPS después de su primera visita, lo que le da a MITM la oportunidad de manipular cualquier tráfico HTTP simple.

Sí, esto es posible.

Si no ha especificado manualmente su servidor DNS para la interfaz en la que está trabajando y recibe uno de DHCP, pueden enviarlo a su propio servidor DNS malicioso y resolver sus solicitudes por usted.

Incluso sin un servidor DNS especificado en la configuración de su interfaz, el servidor de seguridad puede configurarse para redirigir TCP / UDP 53 (DNS) a un servidor de los atacantes que elija. HTTPS hace que esto sea exponencialmente más difícil de hacer sin convencer a la víctima de que ignore las advertencias de SSL o instale una CA raíz en el cuadro de víctimas.

Puedes realizar fácilmente el ataque MITM. Siempre que desee visitar un sitio web como Google.com, su navegador web iniciará un paquete DNS al servidor DNS para resolver el nombre de dominio de Google.com en una dirección IP para enrutamiento IP. Pero supongamos que usted es un atacante malicioso y utiliza herramientas de rastreo de paquetes, entonces puede capturar fácilmente la solicitud de DNS o el paquete de respuesta y luego manipular fácilmente las cosas en el paquete.

No importa si intenta visitar el sitio web HTTP o HTTPS, ya que cualquier sitio web (sea HTTP o HTTPS) necesita primero una resolución de DNS.

La única manera de mitigar este tipo de ataque es escribir la dirección IP del sitio web en su archivo host (lo que es un trabajo tedioso) o puede usar una VPN en la que puede canalizar incluso el tráfico DNS al servidor VPN y estar seguro que ningún atacante puede alterar sus datos mientras está en una red pública.

¡Sí, esto es posible! Cuando se conecta con MITM, todas las conexiones del dispositivo de la víctima se enrutan a la suya. Por eso puedes falsificar fácilmente un archivo de hosts. Por lo general uso dnsspoof. Esta es una herramienta preinstalada de Kali Linux.