----[2][ARP Spoofing]

ARP Spoofing es la variacion de IP Spoofing porque explota una debilidad
del protocolo TCP/IP.
ARP "authentification" es tambien basado en la "Source Adress" direccion
de donde provienen los paquetes, lo que lo diferencia a ARP es que se fija
en una direccion en el Hardware.

Para verla, lo hicelo siguiente :

[toor@powertech toor]# ifconfig eth0
ne2k-pci.c: PCI NE2000 clone 'Winbond 89C940' at I/O 0x6400, IRQ 9.
eth0: Winbond 89C940 found at 0x6400, IRQ 9, 00:00:E8:57:82:6B.<-\
eth0 Link encap:Ethernet HWaddr 00:00:E8:57:82:6B <--------|Hwaddr
BROADCAST MULTICAST MTU:1500 Metric:1
Interrupt:9 Base address:0x6400

Para los que quieren saber exactamente que es la HWaddress: son valores
unicos, que estan "quemados" en tu targeta de red por el fabricante, que
identifica tu direccion fisica. Estas consisten en 48-bits
(12 caracteres).
Un ejemplo de una direccion de hardware es esta:
HWaddr 00:00:E8:57:82:6B

Si no estan conformes lean HWAddress HOWTO
http://network.uhmc.sunysb.edu/hdw_addr


ARP significa en ingles "Address Resolution Protocol". ARP resuelve la IP
a una direccion fisica. Cuando un host quiere una sesion, manda para
afuera un ARP broadcast llevando la IP de su objetivo deseado. Sin
embargo, por conveniencia, nuestro sistema crea lo que se podria llamar
"ARP cache" asi la maquinas se pueden conectar a Host conocidos mas
rapidamente sin hacer un broadcast. Es con este cache que los atacantes
pueden utilizarlo para spooferase ya que lo que guarda es la hardware
address.


En el ARP spoofing, el atacante mantiene su HWaddress pero asume el IP de un
trusted Host, para hacerlo el atacante manda "la informacion de mapeo"
al objetivo y al cache. Desde ese punto, los paquetes provenientes del objetivo
son ruteadas hasta la HDaddress del atacante.
Desde ahora el objetivo piensa que el atacante es un trusted host.





----[3][DNS spoofing]

DNS spoofing es cuando el atacante compromete al Domanin Name Server
(DNS) y altera la tabla con los Hostnames y IP.
Estos cambios son escritos adentro de la base de datos de traduccion del
DNS server. Cuando el cliente hace un nslookup a un host el DNS le da la
IP y tambien el reves, esta direccion queda en la manos del atacante.
Normalmente ejemplo:

[toor@powertech toor]# nslookup www.ezkracho.com.ar
Server: relay3.impsat1.com <|____Nuestro DNS
Address: 200.31.1.8 <------|

Non-authoritative answer:
Name: www.ezkracho.com.ar
Address: 63.65.251.8

[toor@powertech toor]# nslookup www.yahoo.com.ar
Server: relay3.impsat1.com <|____Nuestro DNS
Address: 200.31.1.8 <------|


Non-authoritative answer:
Name: ar.yahoo.com
Addresses: 200.49.66.82, 200.49.66.83
Aliases: www.yahoo.com.ar, ar.rc.yahoo.com

Pero supongamos que el atacante ingresa al DNS de impsat y con un programa
que automatize la tarea de cambiar. Si alguien busca www.yahoo.com
el DNS le ponge el IP de ezkracho.com.ar, redirecionandolo.
Un ejemplo de estos tipo de programas es el paquete de ADM se llama
ADMidpkd.tar.gz.

Con este programa, tambien si estas en LAN podes poner en funcion el
snifer sin igresar al DNS ya que trabaja igual que un snifer normal
pone la tarjeta de red en modo promiscuo e intersepta el paquete del
Query y lo cambia haciendo lo que comente antes.

"hackeado" ejemplo:

[toor@powertech toor]# nslookup www.yahoo.com.ar
Server: relay3.impsat1.com
Address: 200.31.1.8

Non-authoritative answer:
Name: ar.yahoo.com
Addresses: 63.65.251.8 <-------IP de ezkracho
Aliases: www.yahoo.com.ar, ar.rc.yahoo.com

Y entonces todos aquellos que usen el DNS de impsat y quiera ir a yahoo
veran la pagina de ezkracho.
En el paquete de programas que le comente de ADM hay un sniffer que ante
CUALQUIER request o query, o como lo llamen lo mandara a ezkracho*.
*A la direccion que elijamos.

Tambien hay varios programas mas:

-=Jizz=-
author: unknown
OS: *NIX ,MS-DOS

-=ERECT=-
author: Johan y Dioxide
OS:*NIX

-=Snoof=-
author:DOC_Chaos [RoC]
OS:*NIX

Los pueden bajar en:
http://www.anticode.com





----[4][Previniendo IP Spoofing]

-Nota-
Para los que no saben de que se trata el IP spoof ni para que sirve,
tienen dos textos muy buenos que se llaman "Spoofing muy pero muy facil"
de mi amigo CAOS y tienen el numero 1 de este texto "Spoofing N-1" de
Powertech :).

La mejor manera de prevenir estos ataques son:

-Restringir direcciones locales que vengan de la afuera de nuestra RED.


-Intentar no tener Trusted Host.

-Utilizar SYN Loggers asi se podra detectar si alguien intenta Hacerle un
DoS a tu maquina, se preguntaran y porque un SYN logger, bueno porque este
ataque es el mas efectivo contra sistemas *NIX, y asi pueden tomar su
"identidad".

-Utilisar Firewall que trabajen con los modulos del kernel y no un soft
que escucha puertos, firewalls recomendados:

* IPchains
* IPfwadm
* IP filter

(Si no saben utilizar IPchains les recomiendo que lean del HOWTO que viene
con su distro.)

- Activar el modulo del kernel rp_filter, en muchas distros lo activan
por default por ejemplo Debian, lo que tienen que hacer es poner en
/etc/rc.d/rc.local la siguiente linea:
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter

Esto tiene que utilisarce con IPchains.


-Filtrar servicios que son vulnerables a este ataque por ejemplo:

* X Windows
* Servicios R, (rlogin, rsh. rexec)
* Servicios RCP
* TCP Wrappers
* Cualquier servicio que use IP para autentificar


-Utilisar sevicios con encriptacion integrada ejemplos:

* OpenSSH
* OpenSSL
* SSH
* SSH2
* FtpSSL

Ya que con conectarse a un puerto y al recibir un par de paquetes se puede
calcular secuencia TCP y se puede Spoofear el Servicio.
Ademas las conexiones no podran ser "Snifeadas" esto significa que no
podran capturar los paquetes, que pueden llevar los datos del login.