Ya les explique como es esta ataque aca vemos como protegernos del mismo.
Hay muchas maneras de defenderse de esto, la mejor manera es grabar
nuestra HWaddr en piedra, pero seria algo incomodo.
Los ataques de ARP spoofing son muy limitados en muchas maneras. Una
de la maneras es que las nuevas tarjetas de red le hacen un update al
cache mas o menos cada 5 minutos haciendo que el ataque no sea de gran
riesgo a una red.
"ARP": Una Herramienta para manipular tablas de ruteo. ARP, te permite
interactuar y manipular el cache de arp, aca voy a explicar como usar esta
herramienta:
-----------------------------------------------------------------------------
Opcion | Funcion |
----------------------------------------------------------------------------|
-a [hostname] | Specifica un host en particular al |
| que le queres hacer el query. |
| |
-d [hostname] | Borra una entrada a un Host en |
| particular. |
| |
-f [archivo de conf.] | Archivo de configuracion. |
| |
| |
-a [hostname] [address_type] | Specifica la HWaddr al Host seleccionado. |
| |
| |
-t [type] | Para las distintas tipo de entrada por ejm: |
| ether, ax25, arcnet, and pronet (token ring)|
| |
| |
-v | Para activar el modo Verbose |
-----------------------------------------------------------------------------
Si igual quieren estar seguros que no les hagan este ataque instalen en su sitema
"ARPwatch" que observa los cambios de IP/Ethernet, se se detectan cambios o
nuevas direcciones este programa le envia un mail al root.
----[6][Previniendo DNS Spoofing]
DNS spoofing en muy facil detectar. Si sospechas de tu DNS, hace nslookup
desde varias maquinas de tu red fijarse en los prosesos , en la tabla cron
para ver si estan corriendo un programa "desconosido" o si lo inicia y
fijarse si su tarjeta de red esta en modo promiscuo, Salvo si tu DNS haya
sido comprometido por algun tiempo
va a ser rapidamente decubierta ya que si esto es hecho en un ISP los
usuariose quejaran.
Pero revisando las maquinas capas no puede ser suficiente, por eso
recomiendo que utilisen este fabuloso programa, este se llama DOC
(Domain Obsenity Control) que viene con mucha documentacion.
DOC es un programa que diagnostica tu DNS mandando distintos Querys
y despues analisa el contenido de lo obtenido, DOC lo pueden bajar de:
http://coast.cs.purdue.edu/pub/tools/unix/doc.2.0.tar.gz
----[6][Palabras Finales]
Bueno este es el final de mi texto, espero que lo hayan disfrutado
y haber podido implementar lo que explique.
En este texto ayudaron:
Inspiracion musical : Slipknot, Cypress Hill, KoRn y 2pac
Inspiracion comestible: Hamburgesas de McTonto's (aprovecho para
agradecele a mystify por contarme de que eran las hamburgesas jaja),
Huevos de pascua vencidos :)
-[saludos]-
Les mando un saludo a la gente de #linux no voy a nombrar gente
porque me voy a olvidar de algunos y se calientan en cambio asi
estan todos felices.
Saludos especiales a:
CAOS \
GiBA \_Ezkracho Team
Bach /
[Hellraiser] /
(Creo que todo esto sono muy cursi, ja)
"Lo unico seguro
es la inseguridad"
----[7][Comunicate con el autor]
Si queres contactarte conmigo o preguntarme algo podes encontrame en los
siguientes lugares:
Mail: powertech@mixmail.com
Web: http://www.ezkracho.com.ar , en el Forum
Irc: irc.ciudad.com.ar #linux
ICQ: 20484186
- = [ Un vistazo corto del IP spoofing : PARTE I ] =-
-= [ Parte de 'El Proyecto Packet'] =-
(Incluye fuente para Linux 1.3.X y kernels siguientes)
Todo texto y codigo fuente escrito por Brecht Claerhout (Derechos de copia 1996)
Todo codigo fuente probado en Linux kernel 2.0.X
Todos los packets capturados con Sniffit 0.3.2 (pre-release en ese tiempo)
-----------------------------------------------------------------------------------------------
PARTE I: Spoofing simple (No blind)
------------------------------------
0. Introduccion
0.1 Que
0.2 Para Quien
0.3 Disclaimer
0.4 Licencia
1. Explicacion corta de algunas palabras
2. Descripcion del codigo fuente
2.1 fuente incluida
2.2 Notas del programador
3. TCP/IP (UDP) en una hazelnutshell
4. Non-Blind spoofing
4.1 Saber que estas haciendo
4.2 SYN flooding
4.3 killing la conexion
4.3.1 Usando reset (RST)
4.3.2 Cerrando una conexion (FIN)
4.3.3 Improvisando.
4.4 Hijacking la conexion
4.5 Otro
5. El codigo fuente
-----------------------------------------------------------------------------------------------
PARTE I: Spoofing simple (No-blind)
-----------------------------------------------------------------------------------------------