Ir al contenido
Conéctate para seguir esto  
yohnah

Posible suplantación de identidad DNS (DNS Spoofing)

Publicaciones recomendadas

Creo que Vodafone está haciendo pasarela de todas las consultas DNS por puerto 53/UDP, independientemente de los DNS que configuréis en vuestra lan. Huele a DNS Spoofing, pero como no se si el problema es mio (por las pruebas, parece ser que no) o le pasa a alguien más, me gustaría que alguien que tuviera Vodafone lo probara.

Me explico. En mis pcs (Ubuntu, Debian, Windows, os/X, todos) he configurado un dns que me he montado en internet (con bind9) para hacer mis pruebas. Lo he configurado en mis equipos de manera local (en cada uno de ellos para no complicarme) y las consultas propias de ese servidor de DNS no responden, las consultas de forward si. Extrañado de esto, y volviéndome loco pensando que era problema de mi servidor de DNS me da por desactivar el servicio bind9 en mi servidor y veo que aún me responde las consultas.

Lo curioso de esto, es que pongo una ip que no existe, y el dns me sigue funcionando. Empiezo a configurar en mi equipo ips que me invento (existan o no) y todas responden al DNS.

Me da por hacer un nmap -p 53 -sU host y también un nmap -p 53 -PN -sU host a distintas ips que me invento, y todas tiene el puerto UDP 53 abierto.

Hago esta misma prueba desde otro de mis servidores a las mismas ips (y a mi servidor DNS con el servicio caido) y todas los resultados me dan que el puerto DNS UDP 53 está cerrado.

Hago la misma prueba desde ONO (en casa de un amigo) y puerto DNS UDP 53 está cerrado.

Hago la misma prueba desde Movistar (en casa de un amigo) y puerto DNS UDP 53 está cerrado.

Vodafone está haciendo pasarela de las conexiones DNS por el puerto UDP 53, lo que no se es si desde el propio router de vodafone, o desde algún nodo de ellos.

Alguien que tenga vodafone podría probarlo? y si es así postearlo aquí y confirmarlo? básicamente no sea un problema aislado solo el mio (aunque me extrañaría mucho que un fallo como este sea "accidental").

Si es así, entonces da exáctamente igual que te configures openDNS, google DNS o el que tú quieras, al final todas las consultas pasan por donde Vodafone diga.

Por el momento no he detectado la suplantación de identidad que podría provocar esto, pero tiene toda la pinta de un fallo de seguridad en sus sistemas, y si lo están haciendo a propósito pues .... creo que sobran las palabras.

Compartir este mensaje


Enlace al mensaje
Compartir en otros sitios web

Con que uno haga la prueba y postee aquí es suficiente :D

La manera más fácil de probar que este fallo ocurre en más redes particulares (o de empresas) es configurando una dns a una ip que no exista (por ejemplo 123.212.83.92) y luego probar si podéis navegar.

Gracias

Compartir este mensaje


Enlace al mensaje
Compartir en otros sitios web

Bueno, con un poco más de tiempo, me he puesto ha hacer más pruebas.

Una vez confirmado que están haciendo la redirección, y creo que se puede considerar Spoofing ya que me falsean cualquier servidor de DNS que quiero utilizar, el dispositivo que está haciendo la redirección es el propio router de Vodafone que tengo en mi casa.

Simplemente haciendo un traceroute al puerto 53:

#traceroute -p 53 google.es

traceroute to google.es (173.194.34.223), 30 hops max, 60 byte packets

 1  mad01s08-in-f31.1e100.net (173.194.34.223)  101.530 ms 192.168.0.1 (192.168.0.1)  3.831 ms  4.137 ms

Se obtiene que es localizado en el primer salto... osea en el router de Vodafone.

Buscando información y sabiendo esto último, parece que esto le pasa a más de uno, y ya hay un hack para saltárselo (http://zapek.com/?p=92 no lo he probado aún) pero me da rabia tener que utilizar un hack para algo que no debería de ser así.

Me he quedado alucinando.

Compartir este mensaje


Enlace al mensaje
Compartir en otros sitios web
Invitado
Este tema está cerrado a nuevas respuestas.
Conéctate para seguir esto  

×
×
  • Crear nuevo...

Información importante

Términos de Uso Política de privacidad Hemos colocado cookies en su dispositivo para ayudar a mejorar este sitio web. Puedes ajustar la configuración de tus cookies ; de lo contrario, asumiremos que quieres continuar.