You are on page 1of 25

Inacap Renca

Ingeniería en telecomunicaciones conectividad y redes. Seguridad En Redes

Spoofing

Nombre Alumno (s): Félix Arredondo y Cristóbal Becerra. Nombre Profesor: Carlos Patricio Sarmiento Carreño Fecha: 27 de septiembre de 2011

Índice
Índice..........................................................................................................................2 Introducción................................................................................................................ 4 Marco Teórico..............................................................................................................5 Concepto Spoofing...................................................................................................5 Definiciones básicas....................................................................................................6 Host: Máquina conectada a una red de ordenadores y que tiene un nombre de equipo (en inglés, hostname). Es un nombre único que se le da a un dispositivo conectado a una red informática. Puede ser un ordenador, un servidor de archivos, un dispositivo de almacenamiento por red, una máquina de fax, impresora, etc. Este nombre ayuda al administrador de la red a identificar las máquinas sin tener que memorizar una dirección IP para cada una de ellas...........6 Protocolo De Internet – IP: El protocolo de Internet (IP) es un protocolo de red que funciona en la capa 3 (la red) del modelo OSI. Esto es un modelo de conexión, decir no hay ninguna información en cuanto al estado de transacción, que es usado a paquetes de ruta sobre una red. Además, no hay ningún método en el lugar para asegurar que un paquete correctamente es entregado al destino.........6 MAC: Todos los ordenadores de una misma red comparten el mismo medio, por lo que debe de existir un identificador único para cada equipo, o mejor dicho para cada tarjeta de red. Cuando se envían datos en una red local, hay que especificar claramente a quien van dirigidos. Esto se consigue mediante la dirección MAC, un número compuesto por 12 dígitos hexadecimales que identifica de forma única a cada dispositivo Ethernet. La dirección MAC se compone de 48 bits. Los 24 primeros bits identifican al fabricante del hardware, y los 24 bits restantes corresponden al número de serie asignado por el fabricante, lo que garantiza que dos tarjetas no puedan tener la misma dirección MAC. Direcciones M AC duplicadas causarían problemas en la red...............................................................7 Tipos de Spoofing........................................................................................................7 IP Spoofing...............................................................................................................7 Algunos tipos de ataques:...........................................................................................8

.....................................................................................................................................................................................................................................................................................................................22 c) Ver Documento Código Fuente:..................................................21 b) La Línea de Navegación:.......... El indicador de conexión segura solo le da a la victima una falsa sensación de seguridad.................................................................................................................................................................................10 Conclusión ......................................................................................................................................................................................................................................... pero desgraciadamente esa conexión es con www..............................................9 ¿Cómo evitarlo?........19 ¿Cómo funciona el ataque?..............................................................................................................21 El navegador de la victima dice que hay una conexión segura............................................................................................................................................11 ¿Cómo evitarlo?.....................................23 ¿Cómo evitarlo?.........................................................19 Web Spoofing................18 E-Mail Spoofing................................13 DNS Spoofing..........................23 a) Soluciones a corto plazo:............................................20 b) ¿Qué pasa con los Formularios?.......18 ¿Cómo evitarlo?............21 c) Las Conexiones Seguras no ayudan.............................................20 a) Rescribe la URL:......................................................................... porque tiene una.................................................................................22 d) Ver Información del Documento:..................................23 ..................................................................................................................................................................................15 El objetivo del uso del Cache Poisoning es la Negación de Servicio (DoS) o el enmascaramiento como una entidad de confianza........org....21 a) La Línea de Estado:...11 ARP Spoofing.......................................................................................................17 ¿Cómo evitarlo?...........................................................................................................................................atacante......................................................... y no con el sitio que piensa la víctima.........................................................Algunos casos.........21 ¿Cómo detectar el ataque?.....14 Algunos escenarios de este ataque:......................................................................

.............. La primera vez que se utilizó este término fue en los años ochenta..................................... Spoofing es cualquier técnica que sea utilizada para la suplantación de identidad y poder conseguir con ella acceso a lugares................................... para que creamos que nos comunicamos y recibimos paquetes de alguno de nuestros contactos habituales......................... contaremos que existen diferentes variantes del llamado Spoofing..................b) Soluciones a largo plazo:.........................................24 Chile--_> ojo 19223............. por Robert Morris creador del primer gusano de internet...................23 Blue MAC Spoofing...................... En el presente artículo...24 Marco legal en chile de Spoofing.... Hay diferentes tipos de Spoofing que pueden ser utilizados solo por el placer de conocer (hacker) o para conseguir información y luego venderla o utilizarlo como malware (Crackers).......... te contamos cómo funcionan otros modos de Spoofing................24 Conclusión............... que funciona suplantando la dirección IP del atacante.................................... el llamado IP Spoofing.. En la primera parte de este informe.. sitios a los que no se está autorizado........................................... Características básicas de uno de los tipos más comunes de ataque de información.....24 Introducción En el presente informe se dará a conocer un tipo de ataque a las redes de datos el cual es conocido como Spoofing............. las cuales se diferencian por el método que utilizan para su propagación entre computadoras.... ...................................................................... con el objetivo de que accedas a la información necesaria para evitar ser víctima de este flagelo.........................................

En el Spoofing entran en juego tres máquinas o hosts: un atacante. que son generalmente para usos maliciosos o de investigación.Marco Teórico Concepto Spoofing En términos de seguridad en redes. esto es SPOOFING. ubicar un filtrado de paquetes entre ambos sistemas…). la dirección de ese host ocupa un lugar determinado en la cadena de datos. y un sistema suplantado que tiene cierta relación con el atacado. un atacante falsea el origen de los paquetes haciendo que la víctima piense que estos son de un host de confianza o autorizado para evitar la víctima lo detecte. Probablemente esto último no le sea muy difícil de conseguir: a pesar de que existen múltiples formas de dejar fuera de juego al sistema suplantado ‐ al menos a los ojos del atacado ‐ que no son triviales (modificar rutas de red. cuando nos comunicarnos con un determinado host. En otras palabras. pues si conseguimos “manipular” la información de ese lugar. podremos falsear el origen de datos y hacer creer al host destino que somos quien realmente no somos. Spoofing hace referencia a la utilización de técnicas de suplantación de identidad. Por ejemplo. lo más fácil en . para que el atacante pueda conseguir su objetivo necesita por un lado establecer una comunicación falseada con su objetivo. un atacado. al igual que nuestra propia dirección también ocupa otra posición determinada. y por otro evitar que el equipo suplantado interfiera en el ataque.

Además. Es un nombre único que se le da a un dispositivo conectado a una red informática. que es usado a paquetes de ruta sobre una red. Esto es un modelo de conexión. Por algo TCP es un protocolo fiable. Puede ser un ordenador. etc. Este nombre ayuda al administrador de la red a identificar las máquinas sin tener que memorizar una dirección IP para cada una de ellas. . imagine una LAN: Para que se llegue a realizar con éxito un TCP‐Spoofing. los checksum de todos los paquetes (incluidos los IP). una máquina de fax.la mayoría de ocasiones es simplemente lanzar una negación de servicio contra el sistema en cuestión. de forma que un host mal intencionado asume la personalidad de otro y establece una comunicación “falsa” con otro. un dispositivo de almacenamiento por red. Todo ello. un servidor de archivos. Protocolo De Internet – IP: El protocolo de Internet (IP) es un protocolo de red que funciona en la capa 3 (la red) del modelo OSI. decir no hay ninguna información en cuanto al estado de transacción. Definiciones básicas Para entender completamente como este tipo de ataques puede ocurrir. etc. orientado a conexión. etc. Pero no quiere decir que sea seguro. Un entendimiento básico de estas cabeceras y protocolos de red es crucial para el proceso. hay que comprender la estructura de la suite de protocolo TCP/IP. de hecho es vulnerable al llamado TCP‐Spoofing. con control y corrección de errores. habrá que calcular los Nº de secuencia. los asentimientos. se tratará de un modo más profundo más adelante. no lo es. deberíamos previamente: Falsear la MAC –> ARP Spoofing Falsear la IP –> IP‐Spoofing Falsear la conexión TCP –> TCP Spoofing Este último punto es especialmente delicado. no hay ningún método en el lugar para asegurar que un paquete correctamente es entregado al destino. hostname). El asunto es complejo. impresora. Host: Máquina conectada a una red de ordenadores y que tiene un nombre de equipo (en inglés.

El Spoofing trae consigo el anonimato. hay que especificar claramente a quien van dirigidos. Esto se consigue generalmente gracias a programas destinados a ello y puede ser usado para cualquier protocolo dentro de TCP/IP como ICMP. o mejor dicho para cada tarjeta de red. IP Spoofing Suplantación o falseamiento de IP. ARP Spoofing. pero sería como un anonimato “a elegir”. por lo que debe de existir un identificador único para cada equipo. Por ejemplo si enviamos un ping (paquete ICMP “echo request”) spoofeado. apropiarse de la IP de otro usuario de la red. hacer creer que somos quien no somos. Tipos de Spoofing Existen diferentes tipos de Spoofing dependiendo de la tecnología a la que nos refiramos. se debe tener en cuenta el comportamiento de dicho protocolo con el envío de paquetes SYN y ACK con su ISN específico y teniendo en cuenta que el propietario real de la IP podría (si no se le impide de alguna manera) cortar la conexión en cualquier momento al recibir paquetes sin haberlos . Esto se consigue mediante la dirección MAC. un número compuesto por 12 dígitos hexadecimales que identifica de forma única a cada dispositivo Ethernet. DNS Spoofing. esto es. Los 24 primeros bits identifican al fabricante del hardware. la respuesta será recibida por el host al que pertenece la IP legalmente. La dirección MAC se compone de 48 bits. Hay que tener en cuenta que las respuestas del host que reciba los paquetes irán dirigidas a la IP falsificada. y los 24 bits restantes corresponden al número de serie asignado por el fabricante. Cuando se envían datos en una red local. Este tipo de Spoofing unido al uso de peticiones broadcast a diferentes redes es usado en un tipo de ataque de flood conocido como smurf ataque. aunque en general se puede englobar dentro de Spoofing cualquier tecnología de red susceptible de sufrir suplantaciones de identidad. los cuales se describirán más adelante. UDP o TCP. Direcciones M AC duplicadas causarían problemas en la red. No confundir spoofear una IP con anonimizar una IP.MAC: Todos los ordenadores de una misma red comparten el mismo medio. e‐mail Spoofing. Consiste en sustituir la dirección IP origen de un paquete TCP/IP por otra dirección IP a la cual se desea suplantar. como el IP Spoofing (quizás el más conocido). lo que garantiza que dos tarjetas no puedan tener la misma dirección MAC. Para poder realizar IP Spoofing en sesiones TCP. Web Spoofing (phishing).

eliminando la dificultad de calcularlos con exactitud. Dirección IP origen en hexadecimal: AC = 172. 45 00 00 28 43 EF 40 00 80 06 5E 86 AC 1C 00 09 AC 1C 00 19 AC 1C 00 09 ‐‐‐‐‐> Bytes 13 al 16. 00 = 00. los proveedores se han preocupado mucho de que eso no ocurra. En épocas anteriores Internet se preocupaba de brindar conectividad sin importar la seguridad. aun así. en este caso la IP sería: 172. supongamos que nuestro sniffer recogió esto y que ello pertenece a la parte de IP. cuanto menos. imposible hoy en día de cara a Internet. Era relativamente fácil averiguarlos de forma exacta estudiando paquetes y sesiones TCP. Algunos tipos de ataques:  Non‐Blind Spoofing: Este tipo de ataque ocurre cuando el atacante está sobre la misma subred que la víctima. pero hoy en día es muy difícil. Esto es logrado corrompiendo el paso de datos de una conexión establecida haciéndolo pasar por la máquina del atacante. 09 = 09. Para intentar esto se envían varios paquetes a la máquina objetivo probando varios números de secuencia. la mayor parte de los sistemas operativos generan números de .0. las máquinas usaban técnicas básicas para generar estos números de secuencia. En el pasado. verifica la integridad de los mismos. Checksum: Es un método para comprobar la integridad de los datos.28. es por ello que ese tipo de actividades tenían éxito. Veamos cómo se realizaría a bajo nivel este ataque: Imaginemos que estamos en una LAN con un sniffer a la escucha y obtenemos un paquete de datos: El Encabezado IP tiene 20 bytes de longitud. La secuencia y números de reconocimiento pueden ser sniffado. La amenaza más grande de Spoofing en este caso sería el secuestro de sesión. IP asume que la corrección la harán protocolos de nivel superior. pero no la corrige. 1C = 28.solicitado. Esto ya no es posible hoy en día.  Blind Spoofing: Esto es un ataque más sofisticado. porque la secuencia y números de reconocimiento son inalcanzables. También hay que tener en cuenta que los routers actuales no admiten el envío de paquetes con IP origen no perteneciente a una de las redes que administra.9 5E 86 5E 86 ‐‐‐‐‐‐> Bytes 11 y 12. El IP Spoofing es.

Algunos casos ¿Qué pasaría si lográsemos enviar un paquete a un host destino de otra red/subred falsificando la dirección IP origen del paquete? Suponiendo que el router deje salir el paquete (es posible configurar ACL’s en los routers para que esto no ocurra) cuando el destino reciba el paquete de datos. De este modo. usando para ello “IP Spoofing”. Cuando múltiples host comprometidos (en muchas ocasiones sin que estos lo sepan) participan en el ataque. entonces el host falsificado recibirá el paquete y lo descartará debido a que él no lo envió. o DOS. el atacante puede engañar a la víctima haciendo que le revele información confidencial debido a que confía en él. Regla nº 1 del Spoofing. El atacante inunda a la víctima con tantos paquetes como sea posible en una cantidad de corta de tiempo. Para prolongar la eficacia del ataque. la negación de servicio. si no podemos ponernos en el medio de una comunicación hay que inhabilitar el equipo por el que nos hacemos pasar puesto que si no responderá a los paquetes del objetivo desechándolos y se cerrará la conexión. se suplanta la IP de origen (mediante IP Spoofing) para hacer que el trazado y posterior detención del DoS sea tan difícil como sea posible.  Man In the Middle Attack: En este ataque una máquina atacante intercepta una comunicación entre dos host. los datos podrían ser enviados al objetivo. haciendo difícil su predicción con exactitud. todos envían trafico spoofeado lo que provoca que el ataque sea efectivo rápidamente. Sin embargo. si el número de secuencia fuera comprometido.secuencia de manera arbitraria.  Ataque de Negación de Servicio (DOS): IP Spoofing casi siempre es usado en lo que es actualmente uno de los ataques más difíciles de los que defenderse. La máquina atacante controla ahora el flujo de la comunicación y puede eliminar o cambiar la información enviada por uno de los participantes originales sin el conocimiento del remitente original o del destinatario. ¿Qué pasaría si lográsemos enviar un paquete a un host destino de la misma red/subred falsificando la dirección IP origen del paquete? . este es. responderá a la dirección IP falsificada.

Caso b) La IP del equipo falsificado no existe o no está operativo: El destino actualizará su tabla ARP con nuestra MAC y la IP falsa. ¿Qué pasaría si lográsemos enviar miles de paquetes a un host destino de la misma red/subred falsificando la dirección IP origen del paquete utilizando una IP que no existe en la LAN? Dependerá de muchos factores. cada una de las miles de conexiones quedan abiertas y esperando la respuesta. como: Filtrando en el router: Implementando filtros de entrada y salida en su router es una buena idea para comenzar su defensa ante el Spoofing. Es importante que no se permita la salida de ningún paquete que tenga como dirección IP de origen una que no pertenezca a su subred. recuerda que las direcciones IP dentro de una red/subred deben ser únicas.Caso a) La IP del equipo falsificado existe y está activa en la LAN: Aparecerá el mensaje famoso de que hay un nombre de host o dirección IP duplicada en la Red. . intentará responder a la IP remitente y no recibirá respuesta. IDS. usted debería restringir direcciones de origen fuera de su rango válido. ¿Cómo evitarlo? Hay algunas precauciones que pueden ser usadas para limitar los riesgos de sufrir IP Spoofing en su red. tipo de paquete enviado. pero también puede ocurrir que dejemos con problemas por instantes o para siempre a la pila de TCP/IP del equipo. y la IP logeada será otra que no la nuestra. Pero en el mejor de los casos provocaremos un DoS al equipo destino. hay sistemas operativos que ni tan siquiera controlan eso. pasado un tiempo cerrará la conexión. Usted deberá implementar un ACL (lista de control de acceso) que bloquea direcciones de IP privadas por debajo de su interfaz. esto evitará que alguien en su red envíe tráfico spoofeado a Internet. este interfaz no debería aceptar direcciones de tu rango interno como dirección de origen (técnica común de Spoofing que se usaba para engañar a los cortafuegos). Switches. etc. Sistema Operativo. Además. Por encima de la interfaz.

Así tenemos la aparición de ARP. pero esto sólo funciona si todas las máquinas lo . los dispositivos sólo se conocerían entre sí por medio de su dirección física y dicha dirección tiene que ser única para evitar errores de envío. ARP Spoofing En una red que sólo tuviera el nivel Físico del modelo OSI. Conclusión IP Spoofing es un problema sin una solución fácil. puede ayudar a proteger su red de estos ataques. ya que es causa de un mal diseño del protocolo TCP/IP. un traductor o manejador de direcciones.El cifrado y la Autenticación: la Realización del cifrado y la autenticación también reducirán amenazas de Spoofing. combinado con unos métodos de prevención simples. Pero como los protocolos de alto nivel direccionan las máquinas con direcciones simbólicas (como en IP) tiene que existir un medio para relacionar las direcciones físicas con las simbólicas. El entendimiento de cómo y por qué los ataques de Spoofing son usados. y se espera a que esa máquina (u otra) responda (ARP reply) con la dirección Ethernet que le corresponde. un protocolo de nivel de red responsable de encontrar la dirección hardware (Ethernet MAC) que corresponde a una determinada dirección IP. que eliminará las actuales amenazas de Spoofing. Cada máquina mantiene una caché con las direcciones traducidas para reducir el retardo y la carga. Para ello se envía un paquete (ARP request) a la dirección de multidifusión de la red (broadcast (MAC = ff ff ff ff ff ff)) que contiene la dirección IP por la que se pregunta. ARP permite a la dirección de Internet ser independiente de la dirección Ethernet. Estas dos características están incluidas en IPv6.

aunque pueden ser alteradas permitiendo suplantaciones en las comunicaciones. y dicho nivel se encarga de identificar la conexión física de una máquina para lo cual se usan las direcciones físicas de cada dispositivo que son únicas. El protocolo ARP trabaja a nivel de enlace de datos de OSI. Dicha tabla ARP puede ser falseada por un ordenador atacante que emita tramas ARP‐REPLY indicando su MAC como destino válido para una IP específica. Normalmente la finalidad es asociar la dirección MAC del atacante con la dirección IP de otro nodo (el nodo atacado).soportan. de esta manera la información dirigida al router pasaría por el ordenador atacante quien podrá esnifar dicha información y redirigirla si así lo desea. como por ejemplo la puerta de enlace predeterminada (Gateway). o modificar los datos antes de reenviarlos (ataque activo). Cualquier tráfico dirigido a la dirección IP de ese nodo. en lugar de a su destino real. para ello cuando un host quiere comunicarse con una IP emite una trama ARP‐Request a la dirección de Broadcast pidiendo la MAC del host poseedor la IP con la que desea comunicarse. El atacante. por lo que esta técnica sólo puede ser utilizada en redes LAN o en cualquier caso en la parte de la red que queda . como por ejemplo la de un router. no mediante direcciones IP. entre reenviar el tráfico a la puerta de enlace predeterminada real (ataque pasivo o escucha). Los Switches y los hosts guardan una tabla local con la relación IP‐MAC llamada “tabla ARP”. El ordenador con la IP solicitada responde con un ARP‐Reply indicando su MAC. asociando una dirección MAC inexistente con la dirección IP de la puerta de enlace predeterminada de la víctima. Explicándolo de una manera más sencilla: El protocolo Ethernet trabaja mediante direcciones MAC. puede entonces elegir. será erróneamente enviado al atacante. ARP es el protocolo encargado de traducir direcciones IP a direcciones MAC para que la comunicación pueda establecerse. Se trata de la construcción de tramas de solicitud y respuesta ARP modificadas con el objetivo de falsear la tabla ARP (relación IP‐MAC) de una víctima y forzarla a que envíe los paquetes a un host atacante en lugar de hacerlo a su destino legítimo. El ARP Spoofing es la suplantación de identidad por falsificación de tabla ARP. El protocolo ARP se encuentra en el nivel de enlace del modelo OSI. El atacante puede incluso lanzar un ataque de tipo DoS (Denegación de Servicio) contra una víctima.

una de estas características permite forzar al switch a permitir sólo una dirección MAC para cada puerto físico en el switch. La idea es sencilla. Esto último permite prevenir los . ¿Cómo evitarlo? Si se quiere proteger una red pequeña se puede recurrir al uso de direcciones IP estáticas y tablas ARP también estáticas. Para redes grandes se tendría que analizar las características de “Port Security” de los switches.antes del primer Router. y si se piensa en redes grandes es casi imposible llevar a cabo esta labor. de modo que no haya una caché dinámica. incluyendo algunos Man in the Middle. y los efectos del ataque pueden ser muy negativos: desde negaciones de servicio (DoS) hasta interceptación de datos (sniffer). ya que cada vez que una máquina se conecte a la red o cambie de IP se debe actualizar las entradas de las tablas ARP. lo cual impide que alguien cambie la dirección MAC de su máquina o que trate de usar más de una dirección a la vez. Usando estas entradas estáticas se evita que los intrusos alteren las tablas a su gusto. El problema con esta solución es la gran dificultad para mantener estas entradas ARP.

Si ante una consulta. el dispositivo de red mantiene un registro de las direcciones MAC que están conectadas a cada puerto. DNS Spoofing El Domain Name System (DNS) es una base de datos distribuida y jerárquica que almacena información asociada a nombres de dominio en redes como Internet. De esta forma. accederá en su explorador de internet a la página web que el atacante haya especificado para ese nombre de dominio. a partir de una dirección MAC. cuando una entrada ARP cambia. Mediante DHCP. es detectarlo. Este método es implementado en el equipamiento de red de fabricantes como Cisco.ataques de Man-in-the-Middle. RARP (“Reverse ARP”. Por lo tanto. Arpwatch es un programa Unix que escucha respuestas ARP en la red. Otra forma de defenderse contra el ARP Spoofing. si nuestro navegador no conoce su dirección IP realizará una consulta al servidor DNS para que esté le diga cuál es la IP que le corresponde y así accederá a la página mediante su IP y mostrará su contenido. de modo que rápidamente detecta si se recibe una suplantación ARP. Comprobar la existencia de direcciones MAC clonadas (correspondientes a distintas direcciones IP) puede ser también un indicio de la presencia de ARP Spoofing. Pharming es la explotación de una vulnerabilidad en el software de los servidores DNS (Domain Name System) o en el de los equipos de los propios usuarios. en redes grandes es preferible usar otro método: el DHCP snooping.com. significa que esa dirección MAC ha sido clonada. . que permite a un atacante redirigir un nombre de dominio (domain name) a otra máquina distinta. y envía una notificación vía email al administrador de la red. Extreme Networks y Allied Telesis. que hay usos legítimos de la clonación de direcciones MAC. o ARP inverso) es el protocolo usado para consultar. al acceder a www. aunque hay que tener en cuenta. RARP devuelve más de una dirección IP. un usuario que introduzca un determinado nombre de dominio que haya sido redirigido. Por ejemplo. su dirección IP correspondiente. Su principal función es la asignación de nombres de dominio a direcciones IP y la localización de los servidores de correo electrónico de cada dominio.google.

un atacante puede enviar datos falseados como respuesta a una petición de su víctima sin más que averiguar los números de secuencia correctos. incluso sin acceso a un servidor DNS real. Por ello. es decir. Esto se puede conseguir de diferentes formas. desde modificando las entradas del servidor encargado de resolver una cierta petición para falsear las relaciones dirección-nombre. Un servidor DNS no puede almacenar la información de todas las correspondencias nombre/IP de la red en su memoria.El DNS Spoofing hace referencia al falseamiento de una dirección IP ante una consulta de resolución de nombre. un Servidor DNS tiene los registros sólo para las máquinas del dominio que tiene autoridad y necesita sobre máquinas fuera de su dominio debe enviar una petición . hasta comprometiendo un servidor que infecte la caché de otro (lo que se conoce como DNS Poisoning). resolver con una dirección IP falsa un cierto nombre DNS o viceversa. De hecho. Algunos escenarios de este ataque: DNS Cache Poisoning: Como imaginará. los servidores DNS tiene una caché que les permite guardar un registro DNS durante un tiempo.

cnn. Un atacante corre su propio dominio (attacker.attacker. el atacante personaliza los registros en su propio servidor DNS. Veamos cómo alguien podría envenenar la caché de nuestro Servidor DNS.attacker.com=81. 4) El servidor DNS no está “envenenado”. 3) El Servidor DNS personalizado de la atacante contesta a tu servidor DNS.81.8 1) El atacante envía una petición a tu Servidor DNS que lo pide resolver www. por ejemplo un registro podría ser www. El atacante consiguió su IP. pero su objetivo era forzar una transferencia de sus registros y conseguir que tu servidor DNS esté envenenado mientras la caché no sea limpiada o actualizada.net) con su propio Servidor DNS preparado (ns. Es decir. y al mismo tiempo.al Servidor DNS que maneje esas máquinas.com).net). da todos sus registros (incluyendo su registro www. Para no necesitar estar preguntando constantemente puede almacenar en su caché las respuestas devueltas por otros servidores DNS.81.cnn.net 2) Tu Servidor DNS no sabe la dirección IP de esta máquina por lo que necesita preguntar al servidor DNS correspondiente. .

averiguar el número ID y enviarle una respuesta falsa con el ID correcto pero con la dirección IP que le interese. Sin embargo. y en caso afirmativo toma la respuesta como válida.com.50. la máquina X asigna un número de identificación pseudoaleatorio que debe estar presente en la respuesta del servidor DNS. hay algunas limitaciones para lograr este ataque. por lo que el protocolo DNS es usado para resolver el nombre de Y en su dirección IP.50. X accederá a Y pensando que se dirige a la máquina correcta. si sobre una LAN.5) Ahora si preguntas a tu servidor DNS. El atacante puede mostrar otra web. X sólo tiene el nombre de Y. se envía una petición de DNS al Servidor DNS declarado en X. Por ejemplo. . DNS ID Spoofing: Cuando una máquina X quiere comunicarse con una máquina Y. en otro caso. el atacante corre un snifer podría interceptar la solicitud DNS. comprobará si ambos números son los mismos. A esta petición DNS. En la mayor parte de casos. El objetivo del uso del Cache Poisoning es la Negación de Servicio (DoS) o el enmascaramiento como una entidad de confianza. de dará la dirección IP 172. analizando el tráfico sin que el atacado sospeche nada.50. Un atacante puede hacer correr un ataque que consiga este número de ID. donde el atacante corre su propio servidor web. Así pues. Cuando X reciba la respuesta. ignorará la respuesta.cnn. o redirigir todos los paquetes a la verdadera web y viceversa. pidiendo la dirección IP de la máquina Y. sobre www. X siempre necesita el la IP de Y. Pero esta técnica no es del todo segura. Por lo tanto.

ya que pequeñas cosas como las fuentes pueden descubrir el engaño. Cambiando ciertas propiedades del e-mail. E-Mail Spoofing E-Mail Spoofing es un término que describe la actividad de correo electrónico fraudulenta en la cual la dirección de remitente y otras partes de la cabecera del correo son cambiadas para aparecer como si el e-mail proviene de una fuente diferente. por lo que este también contestará a la petición (a no ser que el atacante bloquee la petición en la entrada o realizara un envenenamiento de caché). Muchos spammers usan ahora software especial para crear direcciones de remitente arbitrarias. tanto en aspecto del sitio como en el comportamiento. y también ser capaz de capturar sus paquetes. que en realidad es controlado por alguien con intenciones fraudulentas o como o como medio de protesta contra las actividades de cierta organización. el atacante controla a un snifer.En este caso. por lo que el atacante DEBE estar sobre la misma LAN para tener una respuesta muy rápida a su máquina. Esta técnica. Return-Path and Reply-To (que se encuentran en la cabecera del mensaje). . E-Mail Spoofing es una técnica comúnmente usada para el SPAM y phishing. un usuario mal intencionados puede hacer que el e-mail parezca ser de remitido por alguien que en realidad no es. a menudo es asociada con el web spoofing para imitar un sitio web real conocido. Esto quiere decir que el atacante tiene que contestar ANTES que el verdadero servidor DNS. esta será transmitida al Servidor DNS de todos modos. es poco probable que la dirección sea verdadera. ¿Cómo evitarlo? Para poder evitar este tipo de engaño hay que ser muy observador. como los campos From. de modo que si incluso el usuario encuentra el origen del e-mail. intercepta el número de ID y contesta a su víctima con el mismo número de ID y con una respuesta a su antojo. El problema es que aunque el atacante intercepta su petición.

El correo electrónico autenticado proporciona un mecanismo para asegurar que los mensajes son de quien parecen ser. Sobre la infección. números de la tarjeta de crédito. Aunque existe extensión de servicio de SMTP (especificado en IETF RFC 2554) que permite a un cliente SMTP para negociar un nivel de seguridad con un servidor de correo. para usar estas direcciones como remitente de los correos que ellos envían. Klez o Sober. La página WEB falsa actúa a modo de . u otra información personal.). E-Mail Spoofing es posible porque el Protocolo SMTP. Por ejemplo. a menudo buscan direcciones de correo electrónico dentro del libro de direcciones de un cliente de correo. El atacante puede monitorear todas las actividades que realiza la víctima. Enruta la conexión de una víctima a través de una página falsa hacia otras páginas WEB con el objetivo de obtener información de dicha víctima (páginas WEB vistas. se pueden pedir datos sensibles. esta precaución a menudo no se toma. que puede ayudar en el descubrimiento del origen de correo spoofing intenta a su sitio. no incluye un mecanismo de autenticación. algunos pueden causar problemas serios y causar grandes riesgos de seguridad. y si el atacado cae en la trampa facilitará estos datos al atacante. Considere un punto solo de entrada para el correo electrónico a su sitio. Enseñar a sus usuarios de manera que sepan detectar este tipo de ataques y no sean engañados mediante “ingeniería social” y así no revelar información sensible (como contraseñas) Web Spoofing Suplantación de una página web real. Aunque la mayor parte de los correos spoofeados no tengan mayor importancia y requieran poca atención.ej. PGP u otras tecnologías de cifrado) para cambiar mensajes electrónicos autenticados. así como la seguridad de que el mensaje no ha sido cambiado en el tránsito. ¿Cómo evitarlo? Use firmas digitales (p. Esto proveerá de usted de la tala centralizada.Esta técnica es usada con gran frecuencia por gusanos que se propagan de manera masiva con el fin de ocultar el origen de la propagación.. Usted puede poner en práctica esto por configurando su cortafuegos de modo que conexiones SMTP de fuera su cortafuegos examinen un cubo de correo central. como contraseñas. el protocolo principal usado en el enviar al correo electrónico. contraseñas etc. información de formularios. de modo que parezcan haber sido enviados por el tercero. los gusanos como ILOVEYOU.

la dirección del remitente… También le podría engañar a la victima enviándole información errónea.atacante.org/http://www. pudiendo modificar cualquier información desde y hacia cualquier servidor que la víctima visite. con lo que podrá realizar Vigilancia y Manipulación:  Vigilancia: El atacante puede mirar el tráfico de una manera pasiva grabando las páginas que visita la víctima. Por ejemplo. sale su URL en la barra de navegación. como por ejemplo todos los datos que aparezcan en los formularios cuando la respuesta es enviada de vuelta por el servidor. Las personas que usan internet a menudo toman decisiones relevantes basadas en las señales del contexto que perciben. La víctima puede abrir la página web falsa mediante cualquier tipo de engaño. Esta creencia se podría producir porque la pagina tiene un parecido importante. y por alguna que otra razón más. a) Rescribe la URL: Lo primero que se hace es grabar todo el website dentro del servidor del atacante para que así se apunte al servidor de la víctima.org 4) www.atacante. si la URL del atacante es http://www.atacante.servidor.  Manipulación: El atacante también es libre de modificar cualquiera de los datos que se están transmitiendo entre el servidor y la victima en cualquier dirección.org la reescribe o modifica . ¿Cómo funciona el ataque? La clave es que el atacante se sitúe en medio de la conexión entre la víctima y el servidor. Por ejemplo.atacante.proxy solicitando la información requerida por la víctima a cada servidor original y saltándose incluso la protección SSL. significa que el atacante puede observar cualquier número de cuenta o passwords que la victima introduce.servidor.com se la entrega a www. 3) www.com. en vez de la verdadera. incluso abriendo un simple LINK.atacante.servidor. el atacante puede cambiar el número.servidor. Todo el tráfico entre el navegador de la víctima y el verdadero web pasa a través del programa filtro que programó el atacante. y su contenido.org se la reclama a www. por parte del servidor para causar antagonismo entre ellos.org y la del servidor verdadero es http://www. Como la mayoría del comercio electrónico se hace a través de formularios. si la victima está comprando un producto on-line.com.com 1) El navegador de la victima reclama una página de www. Por ejemplo. se podría decidir teclear los datos bancarios porque se cree que se está visitando el sitio del banco.org 2) www.atacante. Otro método sería instalar un software que actúe como filtro. quedaría: http://www. la cantidad.

a) La Línea de Estado: Este ataque deja dos tipos de evidencias en la barra de estado. En última instancia. porque tiene una. informa la URL a la que apunta. ya que van encerrados dentro de los protocolos web básicos. El indicador de conexión segura solo le da a la victima una falsa sensación de seguridad. la página será entregada.org. Todavía hay detalles que pueden hacer sospechar a la victima que el ataque ya está en marcha. todo sigue ocurriendo con normalidad.5) www. c) Las Conexiones Seguras no ayudan Una propiedad angustiosa de este ataque es que también funciona cuando la navegador de la victima solicita una página vía conexión segura. el atacante también puede leer los datos. ¿Cómo detectar el ataque? Este ataque es bastante efectivo.atacante. que si cualquier URL puede ser spoofeada. Es decir. El navegador de la victima dice que hay una conexión segura. la victima .atacante. La primera. Si la victima accede a un web “seguro” (usando Secure Sockets Layer. pero desgraciadamente esa conexión es con www. los formularios también. Así pues. SSL) en un web falso. y el indicador de conexión segura. cuando se pasa el mouse por encima de un enlace. y no con el sitio que piensa la víctima. pero no perfecto. el atacante puede llegar a eliminar cualquier rastro del ataque. b) ¿Qué pasa con los Formularios? Si la victima llena un formulario de una página web falsa. se encenderá.org le entrega la versión de la página que ha hecho al navegador de la víctima.

atacante. return true. de esta manera: function AbreVentana() { open(“http://www.servidor.”DisplayWindow”.servidor.servidor.org/http://www.status=’http://www. Si está bien hecho se puede hacer que escriba la URL que espera ver la víctima. Esta huella puede ser ocultada ayudándose de un poco de Java Script. para que la víctima no se dé cuenta. b) La Línea de Navegación: Es la encargada de informar qué URL se está visitando. } También se puede hacer un programa que reemplace a la línea de navegación verdadera.servidor.servidor. que se haría de la manera siguiente: <ahref=http://www.menubar=no. el ataque causa que las paginas reescritas en www.com’.atacante.servidor.com/”.atacante.directori es=no.org/http://www.org salgan en la línea de navegación.podría darse cuenta de que la URL se ha modificado. incluso que se puedan producir entradas por teclado. Este detalle puede hacer sospechar a la victima que el ataque está en marcha. en la línea de estado salga http://www. que parezca que sea la correcta. El atacante puede tapar estas huellas añadiendo código Java Script en cada página reescrita para ocultar el texto en la línea de estado o hacer que cuando haya un enlace a http://www. Así pues. se informa cual es la dirección del servidor que está intentando visitar. status=yes”). La segunda es que por un breve instante de tiempo.”>http://www. y no el servidor verdadero.com. colocándola en el mismo sitio.com</a> Este detalle hace más convincente el ataque.com OnMouseOver=”window.atacante. La victima podría darse cuenta que el servidor es www.com.org.”toolbar=yes.org/http://www.atacante. c) Ver Documento Código Fuente: .

b) Soluciones a largo plazo: Todavía no se ha descubierto ningún método para evitar este ataque.. mirando su código fuente. Afortunadamente hay algunas medidas preventivas que se pueden practicar: a) Soluciones a corto plazo: 1. en vez de enseñar el que está viendo.Los navegadores más populares ofrecen la posibilidad de examinar el código fuente HTML de la página actual. . para darse cuenta del ataque. password.Asegurarse en todo momento que la barra de navegación está activa.. al menos en los momentos que vaya a transferir información crítica como login.Desactivar la opción de Java Script en el navegador. Este ataque también puede prevenir esto ayudándose de un programa en Java Script que oculte la barra de menús. ¿Cómo evitarlo? Web Spoofing es un ataque peligroso. como Active-X. asegurándote que siempre apuntan al sitio que quieras entrar. d) Ver Información del Documento: Esta huella se puede eliminar siguiendo las indicaciones arriba mencionadas. apunte a la dirección verdadera. y difícilmente detectable. con la salvedad que si la victima mira el código fuente. como Java tienden a facilitar las técnicas de spoofing. se recomiendo que las desactive de su navegador.. 3. números de tarjeta de crédito o cuenta bancaria. o que haga una barra idéntica. Un usuario podría buscar URLs reescritas.ESTA ES LA MÁS IMPORTANTE: Poner atención a las URL que se enseñan en la barra de estado. que hoy por hoy se puede llevar a cabo en Internet. 2. Hoy en día tanto Java Script.

Conclusión Visto todo esto. será castigado con presidio menor en su grado mínimo a medio". Si quien incurre en estas conductas es el responsable del sistema de información. La seguridad es un compromiso constante entre eficiencia. No explota una implementación incorrecta de Bluetooth por parte de los fabricantes. confiabilidad y operatividad de los estándares de internet para la comunicación por la red es a la vez la fuente de su peor pesadilla.Blue MAC Spoofing Aunque no es un ataque spoofing que haga uso de las debilidades de TCP/IP lo comentaremos brevemente como mera curiosidad. obteniendo así total control de las funciones del teléfono y sus archivos almacenados. sufrirá la pena de presidio menor en su grado medio a máximo". . disponibilidad y a la vez. lo intercepte. la cual en sus cuatro numerales menciona: Artículo 1° "El que maliciosamente destruya o inutilice un sistema de tratamiento de información o sus partes o componentes. se comprueba como la facilidad. El ataque Blue MAC Spoofing afecta a teléfonos móviles Bluetooth (y a todos los dispositivos que hagan uso de esta tecnología). Chile--_> ojo 19223 Ley Nº 1018. Cuenta con una ley relativa a Delitos Informáticos. interfiera o acceda a él. Artículo 3° " El que maliciosamente revele o difunda los datos contenidos en un sistema de información. sufrirá la pena de presidio menor en su grado medio. usar o conocer indebidamente de la información contenida en un sistema de tratamiento de la misma. Artículo 2° " El que con el ánimo de apoderarse. la pena se aumentará en un grado". o impida. atención y cuidado perenne que puede bien estar en los límites de la paranoia. Este ataque consiste en suplantar la identidad de un dispositivo emparejado y utilizar sus credenciales de confianza para acceder a un teléfono sin que el usuario se percate. sino un fallo del estándar en sí. Marco legal en chile de Spoofing. obstaculice o modifique su funcionamiento. promulgada en Santiago de Chile el 28 de mayo de 1993.

Artículo 4° " El que maliciosamente revele o difunda los datos contenidos en un sistema de información. . Si quien incurre en estas conductas es el responsable del sistema de información. sufrirá la pena de presidio menor en su grado medio. la pena se aumentará en un grado".