Piratage éthique - Empoisonnement DNS

L'empoisonnement DNS est une technique qui fait croire à un serveur DNS qu'il a reçu des informations authentiques alors qu'en réalité ce n'est pas le cas. Il en résulte la substitution d'une fausse adresse IP au niveau DNS où les adresses Web sont converties en adresses IP numériques. Il permet à un attaquant de remplacer les entrées d'adresse IP d'un site cible sur un serveur DNS donné par l'adresse IP des contrôles du serveur. Un attaquant peut créer de fausses entrées DNS pour le serveur qui peuvent contenir du contenu malveillant portant le même nom.

Par exemple, un utilisateur saisit www.google.com, mais l'utilisateur est dirigé vers un autre site de fraude au lieu d'être dirigé vers les serveurs de Google. Comme nous le comprenons, l'empoisonnement DNS est utilisé pour rediriger les utilisateurs vers de fausses pages qui sont gérées par les attaquants.

Empoisonnement DNS - Exercice

Faisons un exercice sur l'empoisonnement DNS en utilisant le même outil, Ettercap.

DNS Poisoning est assez similaire à ARP Poisoning. Pour lancer l'empoisonnement DNS, vous devez commencer par l'empoisonnement ARP, dont nous avons déjà parlé dans le chapitre précédent. Nous utiliseronsDNS spoof plugin qui est déjà présent dans Ettercap.

Step 1- Ouvrez le terminal et tapez «nano etter.dns». Ce fichier contient toutes les entrées pour les adresses DNS utilisées par Ettercap pour résoudre les adresses de nom de domaine. Dans ce fichier, nous ajouterons une fausse entrée de «Facebook». Si quelqu'un veut ouvrir Facebook, il sera redirigé vers un autre site Web.

Step 2- Insérez maintenant les entrées sous les mots «Redirigez-le vers www.linux.org». Voir l'exemple suivant -

Step 3- Maintenant, enregistrez ce fichier et quittez en enregistrant le fichier. Utilisez «ctrl + x» pour enregistrer le fichier.

Step 4- Après cela, tout le processus est le même pour démarrer l'empoisonnement ARP. Après avoir lancé l'empoisonnement ARP, cliquez sur «plugins» dans la barre de menu et sélectionnez le plugin «dns_spoof».

Step 5 - Après avoir activé DNS_spoof, vous verrez dans les résultats que facebook.com commencera à être usurpé à Google IP chaque fois que quelqu'un le tapera dans son navigateur.

Cela signifie que l'utilisateur obtient la page Google au lieu de facebook.com sur son navigateur.

Dans cet exercice, nous avons vu comment le trafic réseau peut être détecté via différents outils et méthodes. Ici, une entreprise a besoin d'un hacker éthique pour assurer la sécurité du réseau pour arrêter toutes ces attaques. Voyons ce qu'un hacker éthique peut faire pour éviter l'empoisonnement DNS.

Défenses contre l'empoisonnement DNS

En tant que hacker éthique, votre travail pourrait très probablement vous mettre dans une position de prévention plutôt que de test de stylo. Ce que vous savez en tant qu'attaquant peut vous aider à empêcher les techniques mêmes que vous employez de l'extérieur.

Voici les défenses contre les attaques que nous venons de couvrir du point de vue d'un testeur de stylo -

  • Utilisez un réseau à commutation matérielle pour les parties les plus sensibles de votre réseau afin d'isoler le trafic vers un seul segment ou domaine de collision.

  • Implémentez IP DHCP Snooping sur les commutateurs pour empêcher l'empoisonnement ARP et les attaques d'usurpation d'identité.

  • Mettez en œuvre des stratégies pour empêcher le mode promiscuité sur les cartes réseau.

  • Soyez prudent lors du déploiement de points d'accès sans fil, sachant que tout le trafic sur le réseau sans fil est sujet au reniflage.

  • Cryptez votre trafic sensible à l'aide d'un protocole de cryptage tel que SSH ou IPsec.

  • La sécurité des ports est utilisée par les commutateurs qui peuvent être programmés pour n'autoriser que des adresses MAC spécifiques à envoyer et recevoir des données sur chaque port.

  • IPv6 présente des avantages et des options de sécurité que IPv4 n'a pas.

  • Le remplacement de protocoles tels que FTP et Telnet par SSH est une défense efficace contre le reniflement. Si SSH n'est pas une solution viable, pensez à protéger les anciens protocoles hérités avec IPsec.

  • Les réseaux privés virtuels (VPN) peuvent fournir une défense efficace contre le reniflement en raison de leur aspect de cryptage.

  • SSL est une excellente défense avec IPsec.

Sommaire

Dans ce chapitre, nous avons expliqué comment les attaquants peuvent capturer et analyser tout le trafic en plaçant un renifleur de paquets dans un réseau. Avec un exemple en temps réel, nous avons vu à quel point il est facile d'obtenir les informations d'identification d'une victime à partir d'un réseau donné. Les attaquants utilisent des attaques MAC, des attaques par empoisonnement ARP et DNS pour renifler le trafic réseau et obtenir des informations sensibles telles que les conversations par courrier électronique et les mots de passe.