¿Cómo sabe el spoofer de DNS el destino original del paquete?

1

Es quizás mi falta de conocimiento más profundo de cómo funciona el DNS, NAT o TCP, pero he estado pensando en el siguiente escenario y no puedo resolver el siguiente problema que surge en el ataque MITM de suplantación de DNS:

Imagine un ataque MITM, que se lleva a cabo utilizando la falsificación de DNS. Una víctima intenta conectarse al servidor A (www.example.com), pero como usa un DNS primario no autorizado, le da una dirección IP falsa de otro servidor B. Ahora, ya que la víctima cree que tiene la dirección IP correcta, comienza. algo de comunicación con B. El atacante solo quiere interceptar el tráfico y reenviarlo a su destino adecuado, para que no levante la sospecha de la víctima. ¿Cómo sabe el atacante el destino original?

En caso de que la comunicación sea HTTP, esto es fácil ya que cada solicitud lleva su URL. Pero, ¿qué sucede en el caso más general de solo un paquete TCP ordinario (no HTTP)? Como el encabezado TCP ahora contiene la dirección IP del servidor B del atacante, ¿cómo sabe el atacante el destino original de este paquete?

Mi pensamiento particular es que el atacante falsifica 2 o más nombres de dominio que apuntan a servidores que ejecutan servicios en los mismos números de puerto.

    
pregunta NumberFour 13.02.2015 - 19:50
fuente

1 respuesta

2

protocolo HTTP

Para HTTP, esto podría generalizarse a

  

¿Cómo el servidor web que aloja más sitios web sabe cuál alojar?

Esto es a través de una técnica llamada Alojamiento Virtual en el que el navegador agrega el encabezado Host a cada envío de solicitud y el servidor web sirve el contenido del sitio deseado, decidiendo a través del encabezado. Entonces, si alojo foo.com y bar.com en el mismo servidor y quiero visitar mi sitio foo, el navegador se agregará (determinando por la dirección URL en el navegador) " Host: foo.com "encabezado.

Más información en Wikipedia

Otros protocolos

Aquí tienes un problema, no lo sabes. O bien puede simplemente capturar la solicitud de DNS (que también es muy útil) y enviarla a su destino original o puede falsificar el destino, pero luego necesita tener algún oyente en el puerto dado esperando un tráfico específico. Esto podría usarse para robar credenciales de autenticación o algo así, pero es un ataque muy dirigido.

De lo contrario es muy específico del protocolo. Tal vez el protocolo de capa de aplicación admita algo similar al encabezado Host como HTTP.

Supongamos que sabe que foo.com también está escuchando en el puerto 21 (protocolo FTP). Si lo sabía, puede falsificar el DNS para redirigirlo a su servidor donde está escuchando su servidor FTP y robar sus credenciales.

Si no tiene un servidor escuchando, simulando su tráfico, todo lo que puede hacer es hacerle DoS, ya que su DNS malicioso le está apuntando a lugares que no existen.

Espero que esto responda a tu pregunta correctamente.

M

    
respondido por el user1164108 13.02.2015 - 21:32
fuente

Lea otras preguntas en las etiquetas