Académique Documents
Professionnel Documents
Culture Documents
Gur de la informtica
En este blog informtico est reflejada mi experiencia en el mundo de la informtica. Mis publicaciones sern sobre
seguridad informtica e Internet. Las tcnicas y herramientas aqu explicadas son para fomentar la seguridad de la
informacin dentro de la filosofa del hacking tico. En lnea desde 2005.
Inicio
Autor
Contacto
Google+
Artculos
Foro
Libro de visitas
http://www.gurudelainformatica.es/search/label/Pharming
Poltica de cookies
Premios
Traductor/Translator
Seleccionar idioma
Redes sociales
lvaro Paz
270
Seguir a @gurudelainf
Me gusta
1208
Gur de la informtica
Seguir
Ver todo
Entradas populares
Herramienta de: ingeniera inversa,
generacin de trfico y fuzzing de
protocolos de comunicacin de red.
Netzob es una herramienta de cdigo
abierto para: ingeniera inversa,
generacin de trfico y fuzzing de
protocolos de comunicacin de red....
Honeypot para ataques de Google
Hacking.
GHH es la reaccin a un nuevo tipo de
trfico web malicioso: los atacantes que
utilizan los motores de bsqueda para
atacar Webs. GHH es un...
Kit que proporciona mdulos para
Metasploit de test de penetracin para las
redes VoIP.
Viproy es un kit que proporciona mdulos
para Metasploit de test de penetracin
para las redes VoIP. Est desarrollado
para las pruebas de ...
Herramienta para escanear metadatos y
agruparlos en una nube de tags.
Los metadatos, es la informacin
insertada en los archivos por el software
de edicin o creacin de los mismos,
ests metadatos contienen i...
IDS ideal para redes de alta capacidad.
Bro es un analizador de trfico de red
pasivo y de cdigo abierto. Se trata
principalmente de un IDS que inspecciona
1/10
8/11/2016
3 1 0 6 3
Seguir por e-mail
Con las estadsticas grficas de dsc resulta mas practico detectar amenazas en consultas DNS. Una
vez detectadas estas amenazas se puede obtener mas informacin de estas consultas concretas con
dnstop. Al obtener resultados sobre posible dominios sospechosos podemos consultar su reputacin en
una blacklist y analizar dicho dominio con un servicio online antivirus.
Email address...
Submit
Suscribirse
Entradas
Comentarios
Post anteriormente publicados en este blog relacionados con seguridad en servidores DNS:
Herramientas para auditar seguridad de servidores DNS:
http://www.gurudelainformatica.es/2015/06/herramientas-para-auditar-seguridad-de.html
Obtener hbitos de navegacin de servidor DNS con tcnicas de DNS Snooper.
http://www.gurudelainformatica.es/2015/01/obtener-habitos-de-navegacion-de.html
+3 Recomendar esto en Google
2 comentarios
Etiquetas
Seguridad (304)
Redes (138)
Linux (137) Windows (112) Test
penetracin (67) Malware (61)
Auditoria (54) Defensa perimetral (33)
Informtica Forense (33) Antivirus (19)
DDoS (19) Ciberataques (18) IDS (18)
Cibercriminales
(17)
Firewall
(17)
Seguridad Android (17) WiFi (17)
Raspberry Pi (15) SCADA (15) Honeypot
(14) VoIP (14) Fingerprinting (13) SQL
injection (13) Mac OS X (10) SIEM (10)
SSL (10) Snort (10) Spam (10) Metadatos
(9) Borrado Seguro (8) LiveCD Seguridad (8)
Phishing (8) Sandbox (8) Fuzzing (7) Hardening
(7) Redes de alta capacidad (7) Esteganografia
(6) Footprinting (6) Recuperacin de datos (6)
Rootkit (6) Seguridad iPhone (6) Stress test (6)
Bluetooth (5) MITM (5) Pharming (5) MPLS (4)
Privacidad (4) Google Hacking (3) Joomla! (3)
Keylogger (3) Spyware (3) Twitter (3)
Ciberseguridad
(2)
Disponibilidad
(2)
Drone
(2)
Google+
IBSN
http://www.gurudelainformatica.es/search/label/Pharming
2/10
8/11/2016
Despus de comparar estas acciones con los patrones de infeccin que tiene en su base de datos, si
coincide, es detectada como infeccin. Entonces BotHunter realiza un informe detallado con todos los
acontecimientos y fuentes que desempearon un papel durante el proceso de la infeccin. BotHunter no
es solo una herramienta ideal para la deteccin de ordenadores zombis en redes locales, tambin sirve
para investigar las fases de infeccin del malware.
Phishing y Pharming.
El Phishing consiste en el envo de correos electrnicos que simulando proceder de fuentes fiables (por
ejemplo, entidades bancarias), intentan obtener datos confidenciales del usuario. Para ello, suelen incluir
un enlace que al ser pulsado, lleva a pginas Web falsas. De esta manera, el usuario, creyendo estar en
un sitio de toda confianza, introduce la informacin solicitada que en realidad, va a parar a manos del
estafador. La mayora de los ataques Phishing son consecuencia de las masivas infecciones de
ordenadores zombie. Las redes formadas por los troyanos(botnet) que convierten el sistema en un
zombie, son utilizadas para el envi de spam y phishing, ya que as se escudan en personas que no son
conscientes de su infeccin para realizar ests ataques.
El Pharming se trata de una tctica fraudulenta que consiste en cambiar los contenidos del DNS ya sea
a travs de la configuracin del protocolo TCP/IP o del archivo lmhost (que acta como una cach
local de nombres de servidores Windows), para redirigir los navegadores a pginas falsas en lugar de
las autnticas cuando el usuario accede a las mismas a travs de su navegador. Adems, en caso de
que el usuario afectado por el pharming navegue a travs de un proxy para garantizar su anonimato, la
resolucin de nombres del DNS del proxy puede verse afectada de forma que todos los usuarios que lo
utilicen sean conducidos al servidor falso en lugar del legtimo.
PhishBlock (http://phishblock.org/) es un programa de seguridad que detecta y bloquea phishing y
pharming, con patrones que coincidan con las bases de datos, empleando referencias como:
direcciones URL, nombres de host DNS y direcciones IP. Este programa detecta y bloquea: URLs de
malware, anfitriones calificados como daios y direcciones IP. Recientemente, la mayora de los
cdigos maliciosos se entregan de forma encubierta a los usuarios a travs de los anuncios de: Google,
SNS, Blogs, BBS que los usuarios visitan con frecuencia. Y despus de inyectar los cdigos maliciosos
pasan a forma parte de una botnet.
PhishBlock detecta y bloquea archivos dainos que intentan infectar el sistema a travs de la red
mediante el uso de un controlador de filtro de red. Adems, ocupa muy poca memoria y el controlador
de filtro de red no afecta al rendimiento de la red o de uso de la CPU.
Caractersticas principales:
Detecta y bloquea Phishing y malware basado en URL.
Detectar y bloquea C & C Server (botnet) sobre la base de nombres DNS del host y
direcciones IP.
Detecta y bloquea: fraude, estafa, DDos, falsos contenidos basados en URL y los nombres
DNS del host.
Permite definir las direcciones URL y los Hosts que estn infectadas por malware por los
usuarios. Y compartir estas definiciones con otros usuarios.
Permite verificar si los datos compartidos son malware o no.
Escaneado en busca de malware la cach del navegador con Yara (6,000 reglas).
Los contenidos de bases de datos son de las fuentes: PhishTank.com, Spam404.com,
ClamAV.net...
PhishBlock esta disponible para sistemas Windows: XP, 2003, Vista, Win7, Win8... Y actualmente en
fase de desarrollo para Linux y MacOS.
http://www.gurudelainformatica.es/search/label/Pharming
3/10
8/11/2016
Es una pequea herramienta de prueba de esfuerzo en el protocolo TCP. Blast es rpida y efectiva y
puede ayudar a detectar posibles deficiencias en los servidores de red.
Algunas caractersticas:
/trial aade la posibilidad de ver el buffer de entrada y salida.
/v agrega la opcin de mostrar salida en pantalla, desactivado por defecto
/nr no recibir despus iniciar conexin, existen servicios HTTP que no envan
la respuesta inicial, esto corrige el efecto de los tiempos de espera de HTTP
GET al enviar cadenas.
/dr agrega doble LF / CR 's de buffers (til para las solicitudes GET),
desactivado por defecto.
Ejemplos de modo de empleo:
Uso general.
blast xxx.xxx.xxx.xxx port startsize endsize /t rcvtimeout /d senddelay /b beginmsg /e endmsg /noret
Pruebas con servidores HTTP.
blast 134.134.134.4 80 40 50 /b "GET /some" /e "url/ HTTP/1.0" /nr /dr /v
Pruebas con servidores POP.
blast 134.134.134.4 110 15 20 /b "user te" /e "d" /v
FSMax (http://www.mcafee.com/us/downloads/free-tools/fsmax.aspx).
Una herramienta de pruebas de estrs de servicios de red, formada por secuencias de comandos. Esta
herramienta toma un archivo de texto como entrada y se ejecuta en un servidor a travs de una serie de
pruebas sobre la base de entrada. El propsito de esta herramienta es encontrar desbordamientos de
bfer, en un servidor.
Modo de empleo:
fsmax /s < script.txt > results.txt
Formato del script:
host:[direccin ip],[Puerto ],[min],[max] = parmetros del host.
Parmetros adicionales del host:
Timeout, ms que espera para la respuesta socket, por defecto = 0.
Delay, ms que espera antes de enviar rdenes, por defecto = 250.
Pause, ms que espera antes de recibir, por defecto = 0.
Retnum, nmero para poner fin al buffer CR / LF 's, por defecto es uno.
Reopen, reabrir la conexin antes de cada comando.
Norecv, no recibir despus iniciar conexin, por defecto est desactivado.
Verbose, visualizar en pantalla, por defecto desactivado.
Trial, mostrar buffer de entrada y salida en pantalla.
UDPFlood (http://www.mcafee.com/us/downloads/free-tools/udpflood.aspx).
Es un remitente de paquetes UDP. Enva paquetes UDP a una direccin IP, en un puerto determinado a
una velocidad controlable. Los paquetes pueden ser: de una cadena de texto mecanografiado, un
determinado nmero de bytes aleatorios o datos de un archivo.
WBox (http://hping.org/wbox/).
Es una herramienta para realizar pruebas de estrs, a servidores web y aplicaciones. Se puede utilizar
para realizar muchas tareas, incluyendo las siguientes:
Evaluacin comparativa del tiempo que se necesita para generar el contenido de la aplicacin web.
Realizar test de estrs a servidores y aplicaciones web.
Prueba de configuracin de dominios virtuales sin necesidad de alterar su resolucin local. Comprobar
si las redirecciones estn funcionando correctamente emitiendo el cdigo HTTP correcto. Comprobar si
la compresin HTTP est funcionando y si efectivamente est sirviendo pginas ms rpido.
Nsasoft Network Traffic Emulator
(http://www.nsauditor.com/network_tools/network_traffic_generator.html).
Nsasoft Network Traffic Emulator puede generar trafico IP / ICMP / TCP / UDP. Puede ser usado para
testear servidores, aunque su uso es ms indicado para routers y firewalls. Es muy sencillo y portable,
solo funciona en la plataforma Windows.
Tsung (http://tsung.erlang-projects.org/).
Tsung es una herramienta de prueba de carga. Puede ser utilizado para testear: HTTP, SOAP y los
servidores Jabber (soporta SSL). Simula el comportamiento de varios usuarios usando un archivo XML,
muestra muchas medidas en tiempo real: tiempos de reaccin incluyendo, uso de la CPU y de la
memoria... Disponible plataforma Linux.
Hammerhead 2 (http://hammerhead.sourceforge.net/).
Hammerhead 2 es una herramienta de prueba de carga diseada para probar desde fuera servidores y
sitos web. Puede generar mltiples conexiones y usuarios a una hora programada. Tiene muchas
opciones para generar distintos problemas a sitios Web. Disponible para plataformas Linux, Solaris y
http://www.gurudelainformatica.es/search/label/Pharming
4/10
8/11/2016
FreeBSD.
Apache JMeter (http://jakarta.apache.org/jmeter/).
Apache JMeter es una aplicacin diseada en Java. Fue diseado exclusivamente para carga de sitios
Web pero ha ampliando sus funciones. Apache JMeter se puede utilizar para probar funcionamiento de:
Servlets, Perl, objetos en Java, bases de datos y consultas y servidores. Puede ser utilizado para
simular una carga pesada en un servidor, una red o un objeto, para analizar su funcionamiento total bajo
diversos tipos de carga. realizando un anlisis grafico. Al ser desarrollado en Java es multiplataforma.
DBMonster (http://sourceforge.net/projects/dbmonster/).
DBMonster es una herramienta desarrollada en Java que genera datos de prueba al azar y los inserta en
la base de datos SQL. Ayuda a realizar Stress test de la base de datos. Multiplataforma
SQLIOSim (http://support.microsoft.com/kb/231619).
La utilidad SQLIOSim se ha actualizado desde la utilidad SQLIOStress. La utilidad SQLIOSim simula los
modelos de E/S de Microsoft SQL Server 2005, SQL Server 2000 y SQL Server 7.0 con ms precisin.
Solo para Windows
Hammerora (http://hammerora.sourceforge.net/).
Hammerora es una herramienta de generacin de carga para las base de datos Oracle. Hammerora
incluye las pruebas pre-construidas basadas en patrones estndares de TPC-C y de TPC-H. Disponible
para Windows y Linux.
MultiMail 2.0 (http://www.codeproject.com/KB/applications/multimail.aspx).
MultiMail 2.0 es un programa de carga de smtp que tambin puede ser usado como herramienta
prctica para el desarrollo del software contra-Spam. Solo para Windows.
X-Postal (http://www.coker.com.au/postal/).
Otra aplicacin de Stress test para servidores de correo soporta smtp y pop. Que solo funciona en
Linux.
Load Simulator 2003 (http://go.microsoft.com/fwlink/?LinkId=27882).
Load Simulator 2003 (LoadSim) simula el uso que realizan las conexiones de nuestros clientes MAPI.
Loadsim determina si cada uno de nuestros servidores est preparado para soportar la carga de los
clientes que queremos reunir en dicho servidor.
Exchange Stress and Performance (ESP http://go.microsoft.com/fwlink/?LinkId=27881).
Esta herramienta simula varias sesiones de clientes arbitrarias que estn concurrentemente accediendo
a uno o varios servidores de Exchange 2003.
ESP Provee mdulos que simulan el acceso de clients bajo los siguientes protocolos y APIs:
WebDAV (for Microsoft Office Outlook Web Access).
Internet Message Access Protocol version 4rev1 (IMAP4).
Lightweight Directory Access Protocol (LDAP).
OLE DB.
Network News Transfer Protocol (NNTP).
Post Office Protocol version 3 (POP3).
Simple Mail Transfer Protocol (SMTP).
Exchange ActiveSync.
Outlook Mobile Access.
http://www.gurudelainformatica.es/search/label/Pharming
5/10
8/11/2016
funcionamiento se basa en buscar en los registros (ficheros log) de los demonios y programas indicios
de ataques. Una vez encontrado un ataque aplica las acciones que tiene configuradas. La accin ms
corriente es bloquear el usuario o la Ip en iptables.
El fichero de configuracin es el "/etc/fail2ban/jail.conf". En este fichero se pueden definir las acciones
en caso de ataque, existen parmetros como:
ignoreip: IPs de nuestra rea local que aunque se equivoquen en el login no sern
bloqueadas y por tanto quedan excluidas de las acciones de Fail2ban.
maxretry: Nmero mximo de intentos de login.
bantime: Tiempo en segundos que el usuario que fall el login se quedara sin poder acceder
al servicio especificado. Si se asigna el valor -1 ser permanente.
filter: Se utiliza para aplicar los filtro que incluye la herramienta en el subdirectorio
"/etc/fail2ban/filter.d".
destemail: Direccin de correo electrnico donde enviara las alertas.
Todo las acciones realizadas por Fail2ban y las se registran en el archivo de log
"/var/log/fail2ban.log".
Esta herramienta est disponible para las distribuciones: Slackware, ArchLinux, SUSE, Mandriva, Ipcop,
Gral Linux, RedHat/Fedora, Ubuntu, Debian y Gentoo.
Con tres herramientas: BFD, APF y DDoS Deflate es posible mitigar ataques de fuerza bruta y
denegacin de servicios en servidores Linux.
APF (http://www.rfxn.com/projects/advanced-policy-firewall/).
Es un cortafuegos basado en iptables (netfilter) fcil de instalar y configurar, pero lo que lo hace
indispensable es que es compatible con BFD y DDoS Deflate.
Configuracin bsica:
Una vez instalado su fichero de configuracin se ubica en /etc/apf/conf.apf. En primer lugar se modifica
la lnea que le indica en que interface de red actuar en este caso eth0:
# Untrusted Network interface(s); all traffic on defined interface will be
# subject to all firewall rules. This should be your internet exposed
# interfaces. Only one interface is accepted for each value.
# NOTE: The interfacing structure is being worked towards support of MASQ/NAT
IFACE_IN="eth0"
IFACE_OUT="eth0"
Despus es posible configurar los interfaces de red para que los ignore.
# Trusted Network interface(s); all traffic on defined interface(s) will by-pass
# ALL firewall rules, format is white space or comma seperated list.
IFACE_TRUSTED="eth1"
Luego puertos TCP de entrada permitidos.
# Common ingress (inbound) TCP ports
IG_TCP_CPORTS="80, 110,443"
Puertos UDP de entrada permitidos.
# Common ingress (inbound) UDP ports
IG_UDP_CPORTS=" 110"
Luego puertos TCP de salida permitidos.
# Common egress (outbound) TCP ports
EG_TCP_CPORTS="80, 110,443"
Puertos UDP de salida permitidos.
# Common egress (outbound) UDP ports
EG_UDP_CPORTS=" 110"
Entradas ICMP permitidas:
# Common ICMP (inbound) types
# 'internals/icmp.types' for type definition; 'all' is wildcard for any
IG_ICMP_TYPES="3,5,11"
Existen dos ficheros importantes para denegar el acceso /etc/apf/deny_host.rules y permitir acceso
/etc/apf/allow_host.rules en ellos se pueden especificar IP, rangos, hosts...
BFD (http://www.rfxn.com/projects/brute-force-detection/).
http://www.gurudelainformatica.es/search/label/Pharming
6/10
8/11/2016
Es un script diseado para monitorizar los logs de servicios que corren en el servidor: ssh, apache,ftp...
en busca de fallos continuos de autentificacin o excesos de conexin por parte de una IP. Una vez
detectado una anomala BFD activa APF para bloquear la IP atacante.
Configuracin bsica:
Una vez instalado su fichero de configuracin se encuentra en /usr/local/bfd/conf.bfd. Lo primero que
se configura es el TRIGGER, que es el nmero de intentos de conexin fallidos que permite BFD antes
de actuar.
TRIG=10
Despus configurar el envi de notificaciones por email para cada evento de BFD. Poniendo el valor 1
para activar y 0 para desactivar.
EMAIL_ALERTS=1
EMAIL_ADDRESS=administrador@servidor.es
Si queremos que BFD ignore alguna IP a la hora de bloquer intentos de conexin podemos indicar la IP
en el archivo /usr/local/bfd/ignore.hosts.
DDoS Deflate (http://deflate.medialayer.com/).
Se trata de un script que monitoriza las conexiones al servidor a travs de Netstat y bloquea con APF
aquellas que realizan un ataque de negacin de servicios.
Configuracin bsica:
Una vez instalado su fichero de configuracin se encuentra en /usr/local/ddos/ddos.conf. La primera
configuracin es la frecuencia de ejecucin en minutos.
FREQ=1
Despus nmero de conexiones mximas permitidas antes de proceder a bloquear IP:
NO_OF_CONNECTIONS=160
Luego configuracin para uso de APF para bloquear IP. Si se pone 0 usara iptables.
APF_BAN=1
Tiempo en minutos, en el que la IP atacante ser bloqueada:
BAN_PERIOD=500
Direccin de email a la que notificar cuando acta DDoS Deflate.
EMAIL_TO= administrador@servidor.es
En Windows.
Se trata de WinFail2ban (http://winfail2ban.sourceforge.net/), su funcionamiento est basado en Fail2ban
de Linux pero es menos verstil. WinFail2ban se ejecuta como servicio y analiza los log de: SQL Server,
FTP (IIS) y firewall XP en caso de ser un Windows XP. Buscando ataques de fuerza bruta y bloqueando
las IP en el firewall o usando un falso enrutamiento. WinFail2ban tambin incluye la opcin de enviar las
alertas por correo electrnico.
http://www.gurudelainformatica.es/search/label/Pharming
7/10
8/11/2016
3 comentarios
http://www.gurudelainformatica.es/search/label/Pharming
8/10
8/11/2016
PhishBlock esta disponible para sistemas Windows: XP, 2003, Vista, Win7, Win8... Y actualmente en
fase de desarrollo para Linux y MacOS.
Ms informacin y descarga de PhishBlock:
http://phishblock.org/
Articulo Marco actual incidencias seguridad informtica:
http://es.scribd.com/doc/193240035/MARCO-ACTUAL-DE-INCIDENCIAS-EN-SEGURIDADINFORMATICA
+1 Recomendar esto en Google
1 comentario
Ms informacin y descarga:
http://www.xeeon-antifraude.com/
Recomendar esto en Google
4 comentarios
http://www.gurudelainformatica.es/search/label/Pharming
9/10
8/11/2016
travs de su navegador.
Adems, en caso de que el usuario afectado por el pharming navegue a travs de un proxy para
garantizar su anonimato, la resolucin de nombres del DNS del proxy puede verse afectada de forma
que todos los usuarios que lo utilicen sean conducidos al servidor falso en lugar del legtimo.
Estos sistemas de robo de datos necesitan de una capacidad tcnica de programacin y de
conocimientos que no estn al alcance de todo el mundo. La mayora de las estafas se produce
mediante la tcnica llamada phishing Esta tcnica consiste en el envo de correos electrnicos que,
simulando proceder de fuentes fiables (por ejemplo, entidades bancarias), intentan obtener datos
confidenciales del usuario. Para ello, suelen incluir un enlace que, al ser pulsado, lleva a pginas Web
falsas. De esta manera, el usuario, creyendo estar en un sitio de toda confianza, introduce la
informacin solicitada que, en realidad, va a parar a manos del estafador. No sea tampoco alarmista es
verdad que el comercio electrnico no es 100% seguro, porque no existe un sistema 100% seguro, pero
con precauciones puede llegar a ser lo bastante fiable para que no nos roben.
Que se puede hacer ante esto, sobre todo ser muy desconfiado, su banco nunca se pondr en contacto
con usted va e-mail para solicitar sus datos. Tambin es muy importante leer las advertencias de
nuestro navegador sobre los certificados de las pginas Web. Nunca se conecte a su entidad bancaria o
compre por Internet desde un cyber, la red de una universidad, el trabajo o redes publicas que no saben
quien las controla o quien esta escuchando el trafico, conctense siempre desde casa.
Recomendar esto en Google
2 comentarios
Pgina principal
Entradas antiguas
Este Blog sobre Seguridad Informtica est bajo una licencia de Creative Commons, lvaro Paz. Plantilla Picture Window. Las imgenes de las plantillas son
obra de Josh Peterson. Con la tecnologa de Blogger.
http://www.gurudelainformatica.es/search/label/Pharming
10/10