sexta-feira, setembro 29, 2006

Protegendo-se de URL Fishing com DnsSpoof !!!

Um sistema implementado por mim que ajudou muito no
controle de Fishing, foi utilizar o DnsSpoof um aplicativo
do pacote Dsniff.

Basicamente basta instalar o dsniff em todos os caches de dns e proxy's,
e utilizar o seguinte script:

#!/bin/sh
INT="em1"
FILE=" /etc/dnsspoof.hosts"
RCF="/etc/rc.conf" # Mode para rc.local no linux
dnsspoof_enable="`grep dnsspoof $RCF |cut -d= -f2`"

case "$1" in
start)
if [ ! -f /var/log/dnsspoof.log ];then
touch /var/log/dnsspoof.log
fi
case "$dnsspoof_enable" in
\"[Yy][Ee][Ss]\")
dnsspoof -i ${INT} -f ${FILE} 1>> /var/log/dnsspoof.log 2>&1 &
echo ' DnsSpoof Start'
;;
*)
echo "Modifique o valor de dnsspoof_enable em $RCF"
;;
esac
;;
stop)
if ! killall -15 dnsspoof 2> /dev/null;then
echo ' Dnspoof not running'
else
echo ' Dnspoof Stop'
fi
;;
restart)
$0 stop
$0 start
;;
rcvar)
echo "dnsspoof_enable=$dnsspoof_enable"
;;
*)
echo "Usage: `basename $0` {start|restart|stop|rcvar}" >&2
;;
esac

exit 0

----
[ricardo@ricardo(4:25pm)] ~/scripts# /usr/local/etc/rc.d/dnsspoof.sh start
DnsSpoof Start
[ricardo@ricardo(4:25pm)] ~/scripts# cat /etc/dnsspoof.hosts
172.16.161.253 www.ocarteirovirtual.front.ru

[ricardo@ricardo(4:28pm)] ~/scripts# dig @200.xxx.xxx.xxx www.ocarteirovirtual.front.ru

; <<>> DiG 8.3 <<>> @200.xxx.xxx.xxx www.ocarteirovirtual.front.ru
; (1 server found)
;; res options: init recurs defnam dnsrch
;; got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUERY SECTION:
;; www.ocarteirovirtual.front.ru, type = A, class = IN

;; ANSWER SECTION:
www.ocarteirovirtual.front.ru . 1M IN A 172.16.161.253 !!!! AQUI !!!!!!

;; Total query time: 4 msec
;; FROM: xxx.xxx.br to SERVER: 200.XXX.XXX.XXX
;; WHEN: Fri Sep 29 16:29:17 2006
;; MSG SIZE sent: 47 rcvd: 63

Depois faça uma pagina explicativa nesse IP,
coloque isso em um banco de dados e
alimente atravez de um interface WEB.