eMc2H 4 - Tecnicas de Spoof: Variantes e Implementación
Saludos denuevo men's. Komo siempre, primeramente agradecer en este kaso a "EMC2H" por permitirme publikar este txt en su primera E-ZinE.
[Breve Intro]
En este kaso hablaré sobre el Spoof y sus variantes hasta hoy conocidas, mas ke nada es un adentramiento para akellos ke no tenían ni idea de ke esta Teknika existía la kual se viene realizando desde mucho tiempo atrás y pues básicamente es para ke la konozkan y así pues la Implementen después.
No me meteré a la ardua teoría ke este tema conlleva komo es el conocimiento del TCP/IP, protocolo el kual pueden encontrar información en kualkier libro de su SchooL >), iré directamente al grano, rekuerden ke simplemente es para ke konozkan las diferentes teknikas del Spoof.
Empezaré por decirles ke el Spoofing se ha venido komo dije antes, utilizando desde mucho tiempo atrás kon la finalidad de lograr acceso ROOT en servidores ajenos. Esta Teknika se logra gracias al aprovechamiento de una de las medidas de seguridad ke utilizan los sistemas operativos UniX, digamos: "La Confianza entre 2 makinas". En los kuales estos (S.O UniX) utilizan los famosos "komandos r", los kuales realizan una conexión entre 2 makinas siempre y kuando konfíe una de la otra a esto se le conoce komo: "Trusted Host" ó Host de confianza. Pondré un esquema para su mejor entendimiento:
Supongamos ke tenemos 2 makinas ke konfian entre si, las llamaremos KOF1 y KOF2.
konfianza
KOF1 <=========> KOF2
En este kaso KOF1 konfía plénamente en KOF2 ello conlleva a ke KOF2 puede realizar lo ke kiera en KOF1 sin ke éste le pida PassWord, ¿porke? Por la konfianza ke le tiene KOF1 a KOF2, resumiendo; KOF1 no kreé ke KOF2 le pueda hacer algo malo a él, es por ello ke KOF1 no le pide ni Autentifikarse porke son komo hermanos XD.
Sigamos... entonces komo se realiza ó donde es kuando entra el Spoofing? Ah... Pues ke pasaría si nosotros KOF3 intentamos suplantar, usurpar, igualar a KOF2? Annnndale, KOF1 seguirá permitiendo conexiones sin autenti- fikakión normalmente kon KOF2, sólo ke KOF2 ya no es su hermano, sino nosotros , ) ya vamos entendiendo eh...
Komo sabe KOF1 ke en verdad está tratando kon KOF2? Bien, por su IP, por su dirección MAC etc... osea, datos ke a primera instancia no pueden ser suplantados, lastima!!
[Sólo Un Poko De: Konexión TCP/IP]
Kuando KOF1 le manda datos a KOF2, le esta mandando un pakete TCP. Este pakete kontiene los siguientes datos:
- -> Puerto Origen
- -> Puerto Destino
- -> IP Origen
- -> IP Destino
Este pakete kontiene "Flags" (banderas), ke determinan el tipo de pakete ke se esta mandando. Los diferentes Flags son los siguientes:
- SYN -> Este Flag indica ke se esta pidiendo una konexión.
- ACK -> Kon este Flag se responde kuando un paquete llega bien.
- PSH -> Este Flag se usa para pasar datos a una aplikación. Ejemplo, debe estar aktivado en konexiones TELNET o RSH.
- RST -> Korta una konexión de una manera dura.
- URG -> Determina ke un pakete es urgente.
- FIN -> Pide el cierre de la konexión.
Por otra parte, el pakete también kontiene números de sekuencia ke identifikan a kada pakete mandado, pero eso, es otra historia ; D. Una vez explicados los "Flags" de un pakete TCP, vamos a ver como es ke se establece una konexion entre 2 makinas.
Ya que TCP es un protokolo orientado a la konexion (IP No lo es), es necesario ke antes de empezar a interkambiar datos, se realice un saludo entre ambas makinas. El saludo ke se realiza de la siguiente manera, komo se ve en el esquema; KOF1 es el kliente y KOF2 es un servidor kualkiera!:
- KOF1 --SYN--> KOF2
- KOF1 <--SYN/ACK-- KOF2
- KOF1 --ACK--> KOF2
Traduskamoslo de la siguiente manera:
- KOF1 le pide a KOF2 la petición de conexión mediante la aktivacion del "Flag SYN". Es komo: "Hola KOF2, te kiero mandar un dato"
- KOF2 acepta la petición de KOF1. Es komo: "Hola, klaro mándamelo"
- KOF1 le responde a KOF2 diciéndole que su respuesta llego bien. Y de akí en adelante, ya se pueden empezar a mandar datos mediante el "Flag PSH."
[Haciendo SpooF]
Primeramente decir ke "Spoof = Falsear", osea falsear una IP por ejemplo. Seguiremos utilizando a nuestros amigos KOF1 y KOF2 ; ).
<<<IP Spoofing>>>
El mas conocido de todas las variantes del Spoof, y el ke utilizó Kevin MitNick por si les interesa... Bien, esta teknika se basa mas ke nada en falsificar una IP, lo kual puedes realizar kon kualkier programa de los ke existen en Page's UnderGround ke hoy existen.
Entonces puedo meterme en una makina ke konfíe en otra falsificando la IP por la makina ke confía? No!! Sorry XD porke no sabemos el: ISN (Initial Sekuence Number ó Numero Inicial De Sekuencia) de la makina ke konfía, veamos: kuando KOF1 respondiera a nuestro SYN kon un SYN/ACK, komo no es nuestra IP real la ke está en el pakete ke mandemos, su respuesta no nos llegaría a nosotros por tanto no sabríamos su ISN para poder meterlo en nuestro siguiente pakete ACK para ke se realice la konexión.
Ahora ke tal si pudiéramos conocer el próximo ISN ke una makina va a mandar en respuesta a la siguiente konexión? Entonces podríamos krear nuestros paketes correctamente kon la dirección IP y ISN y así poder ejecutar alguno de los "komandos r" hacia la makina haciéndole creer ke somos un host de konfianza. De todos modos aunke no nos lleguen las respuestas por no ser nuestra IP la ke está en los paketes podemos ejecutar komandos de los ke suelen pedirnos konfirmación, por ejemplo: abrimos el ".rhots" kolokandole los konocidos '+ +' así pues, de esta manera el atake de Spoofing duraría muy poko y en ese preciso momento tendríamos una Shell en la makina kon sólo hacer un "rlogin" ; ).
Y en sí eso es el IP Spoofing
<<<DNS Spoofing>>>
Ummm en lo personal konsidero este atake el mas difícil, no'mas porke ocupamos tener un servidor, osea renta uno de esos ke ofrecen en la RED por $1000 varos al año ó utiliza uno de los ke de seguro tienen acceso total osea es tuyo XD.
Bueno, una pregunta ke te es mas fácil de rekordar? www.hackme.com ó xxx.xxx.xxx.24, sawebo un nombre de dominio por ello existe el llamado "Fully Kualified Domain Name ó simplemente FQDN , )". Bien, resulta ke hay una operación en los servidores ke se llama °resolver! A la ke nosotros le damos un FQDN y ella nos devuelve la IP correspondiente a esa makina y viceversa. Lo ke hace básicamente es mandar un pakete UDP a un servidor DNS kon un nombre de makina, y el servidor devolverá la IP de la makina y ya kon estos datos se armarán los paketes TCP ó UDP para mandarlos a la makina!. Esta consulta de la IP se hace por partes, en la IneT hay muchas makinas matrices ó maestras para kada dominio ya sean .com, .org, etc. En estas makinas se encuentran las IP's de todas las makinas ke salen de ese dominio, osease, para ver la IP de algún servidor en especial komo "fuck.hackme.com" haremos una petición al servidor DNS Matriz de los dominios .com y este nos dirá la IP de "hackme.com"
Y esta nos dirá la IP de "fuck". Y es en este momento donde el servidor DNS guardará en su Kaché la IP ke le hemos pedido para ke si lo volvemos a realizar la tenga a la mano y no tenga ke hacer pesadas peticiones a otros servidores DNS. Tener en cuenta ke todas estas peticiones DNS se hacen bajo UDP y komo el UDP no tiene ISN del TCP de tal manera ke al hacer una petición DNS, tiene ke ser el propio DNS el ke se encarga de añadir a kada pakete una identifikación llamada "QueryID" para ke un servidor DNS sepa identificar las preguntas ke le llegan y las respuestas ke manda. El "QueryID" lo asigna la makina ke hace la petición y es invariable durante el resto de la comunicación, y se basa no en un número aleatorio sino en uno secuencial lo ke lo hace propenso a atakes SpooF ; ).
El DNS Spoofing entra de esta manera; konsiste en engañar a un servidor DNS y hacerle kreer ke una FQDN posee una IP ke no es la ke realmente posee, ejemplo: un atakante puede modificar un servidor DNS para ke en su kaché el FQDN de www.hackme.com tenga la IP xxx.xxx.xx.xxx, siendo ésta IP la de otra makina. De esta teknika se desprenden varias mas! Es sólo kuestión de pensarle, así es! Aunke duela el cerebro XD.
<<<E-Mail Spoofing>>>
Bueno, pues básikamente a esta variante se le considera así a un mensaje ke se supóne ha sido recibido de algún atakante insinuándote a realizar algo, mas ke nada para su konveniencia de tal manera ke le des tu Password ó datos konfidenciales y ke se supone viene directamente del admin. de un servidor de korreo, kuando en realidad es algún kompa tuyo gastandote una broma para ke al fin te pueda fregar esas fotos xxx ke tanto anhela , ). Esto lo podemos hacer fácil, me imagino ke conocen los aburridos pero en veces signifikativos "Mail's Anónimos" pues básikamente de eso tráta, un ejemplo de ello sería, ke konfiguraras tu kliente de korreo de tal manera ke en el From: ponga ke es de administrador@servidormail.com y eb el Reply: ponga tu_korre@real.com y después se lo mandarías a alguien diciéndole un mil de pabadas contándole kualkier historia para ke te su password ó algún otro dato ke kreas interesante. Pero naa no sirve de nada porke tu IP saltaría solita, mejor le dejamos ahí XD.
<<<IP Hijacking>>>
Konsiste en meterse en medio de una comunicación entre dos makinas, ¿se acuerdan de KOF1 y KOF2? XD los usaremos) de tal manera ke usuarpa el lugar de una de ellas y se le tumba de la konexión en la kual estaba, la otra makina no se dará cuenta y pensará ke está tratando todavía kon ella, kuando en realidad trata kon nosotros ; ). Para llevar este atake spoof es necesario ke nos encontremos en el mismo segmento de red en ke están esas 2 makinas porke debemos Snifear la konexión de kualkiera de las 2. Al grano!! Primero debemos hacer pensar a KOF1 ke se le kortó la konexión kon KOF2 por x kausa kuando en realidad es por kulpa KOF3 (Nosotros), komo se hace esto? Así: KOF3 se mete entre KOF1 y KOF2 y modifica los paketes de KOF2 al mandarlos a KOF1, kes modifica unos datos ke hacen ke kambie el número ACK, por lo ke los paketes ke lleguen sin modificar de KOF2 hasta KOF1 serán ignorados al tener unos números de sekuencia no esperados. En este momento del atake, KOF3 (Nosotros XD) ya ha konseguido poner fuera de kombate a KOF1 y esta kon una komunicación aktiva kon KOF2.
WEB Spoofing
El mas sencillo de comprender de las demás variantes el kual konsiste en hacer kreer a una persona ke está en un sitio WeB konfiable kuando en realidad no lo es!, este está navegando por una WeB hecha por kualkier usuario kon fines de guardar todos los datos ke el usuario deje en la pagina ; ). Haber, me expliko:
Debemos krear una pagina parecida a la ke keremos suplantar en otra makina, kon la diferencia de ke en esta makina losdatos del visitante de la pagina pasarán a nuestras manos }; ). Después de esto debemos hacer ke la viktima visite nuestra pagina en vez de la original ke supuestamente debería de visitar y listo! O tambien podemos dejarla komo pagina de início en el navegador, para ke así sólo introduzca los datos y listo!
[Dejándolos Fuera]
Se acuerdan de las diferentes banderas (Flags) ke expliké arriba? Bien!, pues en este momento utilizaremos la llamada SYN, ya sabes lo ke hace y sino pues vuelve a leer XD.
Bien, lo ke emplearémos es un atake agresivo del tipo DoS (Denial Of Service ó Denegación De Servício)llamado "SYN Flooding", el kual no se basa en un bug de software ni de lo mal ke pudiera estar el KerneL, mas bien se aprovecha de la mala implementación del protokolo TCP. El objetivo de dicho atake es dejar sin funcionamiento al demonio ke korra en un determinado puerto; osea, tumbar a un puerto y privarlo de recibir konexiones de sus clientes °°hermoso!! XD.
Este atake DoS funcióna de la siguiente manera:
Debemos de mandarle a un host o makina destino, una serie de paketes TCP con el bit "SYN" aktivado, desde una direkción IP Spoofeada, la kual tiene que ser inexistente!. Así pues, komo la direkcion origen es inexistente, el host destino no puede kompletar el saludo con el host cliente, y es ahí kuando entra el fallo; ICMP reporta que el kliente es inexistente pero TCP ignora el mensaje y sigue intentando terminar el saludo con el kliente de forma kontinua y komo la kantidad de peticiones ke se le hace al objetivo es demasiada el demonio que korre en determinado puerto keda tumbado, sin posibilidad de hacer algo XD. Veamos u eskema, para su mejor entendimiento:
======================================================
KOF3 (Nosotros, seremos los intermediarios)
KOF1(KOF3) --SYN--> KOF2
KOF1(KOF3) --SYN--> KOF2
KOF1(KOF3) --SYN--> KOF2
Y en konsekuencia!! Recibiría..
KOF3 <--SYN/ACK-- KOF2
KOF3 <--SYN/ACK-- KOF2
KOF3 <--SYN/ACK-- KOF2
Y finalizaría así..
KOF3 <--RST-- KOF2
======================================================
Me expliko:
Es obligatorio ke la IP origen sea inexistente, ya ke sino el host objetivo (KOF2), le va a responder a la IP ke supuestamente Spoofeamos (ke en este kaso, si existe!!) kon un SYN/ACK, y komo esa IP no pidió ninguna konexión, le va a responder al host objetivo (KOF2) kon un RST, y el atake no tiene efekto.
De esta manera el servicio (puerto) ke tenía korriendo en ese momento se habrá caído y prueba de ello sería observándolo klaro! Entonces hacemos un TELNET al host objetivo y veremos ke no responde, eso kiere decir ke el servicio está Down ; ) SYN Rlz!. Hay un programa llamado synk4.c el kual realiza SynFlooding, kon ellos no kiero decir ke vayas y tumbes servicios por todos lados de servidores, mejor kálalo en tu lokalhost!.
[Greetz & Ending...]
Pues esto ha sido todo men's, sólo kiero rekalkar ke eso de andar fregando makinas y servidores no está bien visto y jamás lo estará, este .txt es y ha sido hecho kon la finalidad de ke estudies las diferentes teknikas de SpooF y sus Implementaciones para ke tengas un conocimiento mayor acerka de ello.
Pues ya sólo me keda agradecer a toda la raza ke me konoce komo siempre y sobre todo a eMc2H por permitirme mostrar este txt en su Seine, saludos a toda Red-Latina en los kanales ke me la paso komo, #Hakim.ws, #Pmh, #HackMex, etc..
Si tienes dudas ó alguna sugerencia rolame un korreo a: virkut@hotmail.com
EOF...
