MITM en sitios populares - DNS

Puedes hacer una falsificación de ARP para que la víctima te envíe consultas de DNS a ti (el atacante). Luego puede responder con registros de tipo A de DNS que tengan una dirección IP que usted controla. Sin embargo, la validación del certificado SSL fallará porque no podrá hacerse pasar por Facebook cuando realice el establecimiento de la clave SSL.

Suponga que la víctima A tiene su enrutador inalámbrico estándar de Linksys que, de manera predeterminada, no tiene el cifrado habilitado en la red inalámbrica que transmite. Supongamos que la víctima A nunca cambió la contraseña de administración predeterminada para acceder a la interfaz web del enrutador para cambiar la configuración (generalmente admin, admin).

Estas dos situaciones son extremadamente comunes. Todo lo que debe hacer el Attacker A es configurar un servidor DNS y un servidor web fraudulentos en su computadora portátil que se haya conectado a la red inalámbrica de la víctima A, agregar direcciones de reenvío a su servidor DNS falso (como el DNS público de Google de 8.8.8.8 y 8.8.4.4 ) para que todos los demás dominios que la víctima A intente visitar aún puedan resolverse en su dirección IP pública correspondiente, luego agregue una zona de búsqueda directa para fb.com y facebook.com . Cada una de estas 2 zonas necesitará un registro A para el dominio raíz y un registro A para www , los cuales apuntan a la dirección IP local del atacante A de 192.168.1.1 . El atacante A luego inicia sesión en la interfaz web del enrutador (la dirección de la puerta de enlace predeterminada, generalmente 192.168.1.1 para Linksys). Desde allí, el Attacker A cambia la configuración DNS del ISP en la interfaz WAN de la configuración obtenida a través de DHCP desde el ISP a la dirección LAN local de su computadora portátil (por ejemplo, 192.168.1.101 ).

Ahora, en el servidor web local del Attacker A, toma las hojas de estilo CSS de Facebook y el formulario de inicio de sesión con wget o cualquier otra herramienta de espejo de sitio web, luego inyecta PHP en la página descargada que guarda un archivo de texto en la raíz de su servidor web local Directorio que registra cualquier nombre de usuario y contraseña enviados a través del formulario. Tenga en cuenta que este formulario se ve exactamente como el formulario de inicio de sesión de Facebook. Desde allí, el atacante envía esta información al sitio real de Facebook y registra al usuario para que el usuario ni siquiera sepa qué sucedió.

Cuando la víctima A visita fb.com , facebook.com , www.fb.com o www.facebook.com , la dirección IP se resuelve como la dirección LAN de la computadora portátil del atacante A de 192.168.1.101 dado el caché DNS de la víctima A se ha borrado después de un período de tiempo.

Como se mencionó, el único inconveniente es que si la Víctima A tiene http s : //facebook.com marcada como favorita, el proceso se verá extremadamente (ph), ya que la Víctima A recibirá una advertencia de certificado no válido. . También tenga en cuenta que el atacante no tiene que quedarse durante todo este proceso si configura un servidor DNS y un servidor web no autorizados en una IP pública, reenvía los puertos 53 y 80 en su firewall y configura la dirección DNS del enrutador de la Víctima A en IP pública del atacante A.

Sí, puedes "decir" que conoces la IP de fb.com, pero dales la tuya. - Olvidé cómo se llama el ataque en este momento :)

Puede pretender ser Facebook en el sentido de que tiene una página web que se parece a la de Facebook (y usar algo como SSLStrip para detener las redirecciones automáticas a HTTPS), pero si el cliente FORCES usa SSL, no puede falsificar el certificado de Facebook. ¿Es eso lo que estás preguntando?