AHMEDKEFI DNS SPOOFING

DNS Spoofing

Liste des Figures

Figure 1 : Principe de Fonctionnement d’un Serveur DNS ----------------------------------------------- 2
Figure 2 : Exemple du Traitement d’un Requête avec un Serveur DNS ------------------------------- 2
Figure 3: DNS Spoofing : Déroulement de l’attaque ------------------------------------------------------- 3
Figure 4 : Vol des Données 5
Figure 5 : Ouverture du Fichier « Etter.dns » 7
Figure 6 : Fichier « Etter.dns » 7
Figure 7 : Edition du fichier « Etter.dns » 8
Figure 8 : Accès au page « index.html » 8
Figure 9 : Modification du Fichier « Index.html »………………………………………………….. 9
Figure 10 : Démarrage du Serveur Apache 9
Figure 11 : L’outil Ettercap 9
Figure 12 : Analyse du Réseau 10
Figure 13 : Adresse IP du Machine Victime 10
Figure 14 : Ajout des cibles 11
Figure 15 : Usurpation ARP 11
Figure 16 : Activation de l’attaque DNS Spoofing………………………………………………… 12
Figure 17 : Vérification de l’attaque DNS Spoofing ------------------------------------------------------ 12

Liste des Tableaux

Tableau 1 : Milieu Matériel .................................................................................................................. 6
Tableau 2 : Milieu Logiciel ................................................................................................................... 6

1
 AHMEDKEFI DNS SPOOFING

1. Qu’est-ce que le Serveur DNS :

Avant d'expliquer les serveurs DNS, il est important de clarifier les termes impliqués dans ce
sujet.

- Une Adresse IP (Internet Protocol) : est le nom d'ID de chaîne numérique pour chaque
ordinateur et serveur unique. Ces identifiants sont ce que les ordinateurs utilisent pour se
localiser et se « parler »
- Un Nom de Domaine : est un nom de texte que les humains utilisent pour se souvenir,
identifier et se connecter à des serveurs de site Web spécifiques. Par exemple, un
domaine comme « www.example.com » est utilisé comme un moyen facile de
comprendre l'ID du serveur cible réel, c'est-à-dire une adresse IP.
- Un Système de Nom de Domaine (DNS) : Le système de noms de domaine « DNS »
est un système qui permet à l'utilisateur de résoudre le nom d'une page Web via son
adresse IP (Internet Protocol) en tapant uniquement le nom du site Web dans l'URL
(Uniform Resource Locator). En termes simples, un serveur DNS agit comme un
traducteur entre le langage humain et le langage machine.
- Les Serveurs de Système de Nom de Domaine (Serveurs DNS) : un collectif de
quatre types de serveurs qui composent le processus de recherche DNS. Ils incluent le
serveur de noms de résolution, les serveurs de noms racine, les serveurs de noms de
domaine de premier niveau (TLD) et les serveurs de noms faisant autorité.
- Le Serveur de Nom de Résolution (ou résolveur récursif) : est le composant de
traduction du processus de recherche DNS résidant dans votre système d'exploitation. Il
est conçu pour demander une série de serveurs Web pour l'adresse IP cible d'un nom de
domaine.

Remarque :
Avec la prolifération d'Internet, le DNS n'est pas toujours fiable car il ne dispose pas d'un
processus de vérification des informations qu'il reçoit, et à partir de là, nous explorons
pourquoi l'usurpation de DNS est un vecteur d'attaque viable pour les pirates.

2. Comment Fonctionne la Recherche DNS :

Lorsque nous rechercha un site Web via un nom de domaine, voici comment fonctionne la
recherche DNS. Ce processus implique trois entités les suivants :

2
 AHMEDKEFI DNS SPOOFING

- Entité A : l'utilisateur en tant que client.

- Entité B : le serveur DNS en tant que résolveur.
- Entité C : le serveur Web en tant que destination.
Le scénario est le suivant :
• L'utilisateur demande l'accès à www.xyz.com , après quoi, la demande est transmise
au serveur DNS.

• Le serveur DNS résout le nom de domaine et avec une recherche il trouve l'adresse IP
correspondante à partir du serveur Web.
• Une fois que l'utilisateur récupère l'adresse IP, il demande le contenu au serveur Web.
• Le serveur Web répondra à la demande et montrera le site Web à l'utilisateur.
• Une fois que le serveur DNS a trouvé la traduction de domaine en IP, elle sera mise en
cache pendant une période spécifiée.

Figure 1 : Principe de Fonctionnement d’un Serveur DNS

3. Qu’est-ce que le DNS Spoofing :

Le terme Spoofing signifie « usurpation » ou « falsification ». Le DNS Spoofing désigne

quant à lui différents scénarios dans lesquels une manipulation est opérée sur la résolution de
nom DNS. L’adresse IP correspondant à un domaine est en particulier faussée. Le terminal
établit donc une connexion avec la mauvaise adresse IP et le trafic de données est redirigé
vers le mauvais serveur. Voici un exemple.

3
 AHMEDKEFI DNS SPOOFING

Figure 2 : Exemple du Traitement d’un Requête avec un Serveur DNS

Comme la résolution de nom se déroule majoritairement en arrière-plan, la victime n’a

généralement pas conscience de cette manipulation. L’une des spécificités particulièrement
perfides du DNS Spoofing réside dans le fait que le bon nom de domaine est indiqué dans le
navigateur.

4. Comment se déroule une attaque de DNS Spoofing :

Les différentes variantes sont détaillées ci-dessous. Reportez-vous au schéma suivant pour
une explication du principe du DNS Spoofing.

Figure 3: DNS Spoofing : Déroulement de l’attaque

• Etape « d1. » : Le client (c’est-à-dire le navigateur du terminal) consulte tout d’abord

l’adresse IP correspondant au nom d’hôte exemple.com depuis le serveur DNS.
• Etape « d2. » : Le client reçoit une réponse à la requête mais celle-ci contient une
fausse adresse IP. La connexion avec le serveur légitime d’exemple.com n’est donc
pas établie.

4
 AHMEDKEFI DNS SPOOFING

• Etape « h1. » : À la place, le client envoie la requête à l’hôte malveillant qui se trouve
derrière la fausse adresse IP.
• Etape « h2. » : L’hôte malveillant fournit une page d’apparence légitime au client.
L’attaque peut toutefois être identifiée à l’absence de certificat de sécurité pour le
domaine falsifié.
• A, B et C : présentent les différents points de départ exploitables pour un DNS
Spoofing : sur le client ou le routeur local, sur la connexion réseau, sur le serveur
DNS.

5. Exemple de DNS Spoofing :

L'exemple suivant illustre une attaque d'empoisonnement du cache DNS, au cours de laquelle
un attaquant dont son adresse IP est 192.168.3.300, intercepte un canal de communication
entre un client avec l’adresse IP 192.168.1.100 et un ordinateur serveur appartient au site Web
« www.estores.com » dont son adresse IP est 192.168. 2.200. Dans ce scénario, un outil
nommé « arpspoof » est utilisé pour duper le client en lui faisant croire que l'adresse IP du
serveur est 192.168.3.300. Dans le même temps, le serveur est amené à penser que l'adresse IP
du client est également 192.168.3.300. Un tel scénario se déroulerait comme suit :
1. L'attaquant utilise « arpspoof » pour émettre la commande : « arpspoof 192.168.1.100
192.168.2.200 ». Cela modifie les adresses MAC dans la table ARP du serveur, le faisant penser
que l'ordinateur de l'attaquant appartient au client.
2. L'attaquant utilise à nouveau arpspoof pour émettre la commande : « arpspoof
192.168.2.200 192.168.1.100 » qui indique au client que l'ordinateur de l'auteur est le serveur.
3. L’attaquant lance la commande Linux : « echo 1> / proc / Sys / net / ipv4 / ip_forward ». En
conséquence, les paquets IP envoyés entre le client et le serveur sont transmis à l'ordinateur de
l'auteur.
4. Le fichier hôte, « 192.168.3.300 estores.com » est créé sur l'ordinateur local de l'attaquant, qui
mappe le site « www.estores.com » à son adresse IP locale.
5. L'auteur met en place un serveur Web sur l'adresse IP de l'ordinateur local et crée un faux site
Web conçu pour ressembler à « www.estores.com ».
6. Enfin, un outil nommé « dnsspoof » est utilisé pour diriger toutes les requêtes DNS vers le fichier
hôte local de l'auteur. En conséquence, le faux site Web est affiché aux utilisateurs et, uniquement
en interagissant avec lesite, des logiciels malveillants sont installés sur leurs ordinateurs.

5
 AHMEDKEFI DNS SPOOFING

6. Quels sont les Risques du DNS Spoofing :

Le DNS est une technologie fondamentale : une résolution de nom est effectuée à chaque fois
qu’une connexion est établie. Le DNS Spoofing peut donc concerner n’importe quelle
connexion sur le client. Que la victime accède à un site Internet ou envoie un Email, un hacker
peut accéder aux données si l’adresse IP du serveur concerné a été usurpée. Le DNS Spoofing
comporte en particulier les risques suivants :
• Le vol de données confidentielles : les attaques de Spear Phishing et de Pharming
permettent de voler des données sensibles comme des mots de passe. Ces données sont
souvent utilisées pour pénétrer dans des systèmes informatiques ou pour réaliser des
escroqueries.
• L’infection du système par un malware : la victime est incitée à installer des
programmes malveillants sur son système. Ces programmes ouvrent la porte à d’autres
attaques et à un espionnage total par les hackers.

• La consultation d’un profil d’utilisateur complet : les données personnelles

collectées dans ce cadre sont alors revendues ou utilisées pour des attaques de Spear
Phishing.
• Le danger d’une menace persistante : la communication est compromise dès lors
qu’un serveur DNS malveillant est paramétré sur le système. Même les réponses DNS
temporairement falsifiées demeurent dans le cache et peuvent causer des dommages
sur la durée.

Figure 4 : Vol des Données

6
 AHMEDKEFI DNS SPOOFING

7. Comment prévenir les attaques d'usurpation DNS :

Être vigilant lors de l'utilisation d'Internet et de votre navigateur Internet peut contribuer
grandement à réduire le risque d'attaque d'usurpation DNS.
• Gardez votre antivirus ou votre protection en temps réel actifs et à jour.
• Activez la sécurité de votre navigateur Web et le pare-feu de votre ordinateur.
• Vérifiez toujours que le site Web que vous visitez est le site Web légitime.
• Videz régulièrement votre cache DNS.
• Évitez d'utiliser le Wi-Fi public et assurez-vous que vos connexions Wi-Fi sont
sécurisées et fiables.

8. Simulation de l’attaque DNS Spoofing :

8.1. Environnement du Travail :
Avant tout on doit faire un inventaire du matériel à utiliser pour implémenter l’attaque DNS
Spoofing, donc on va utiliser un PC portable « HP Laptop 15-da0xxx » et une autre machine
« HP » qui ont les caractéristiques mentionnées dans le tableau n°1.

Processeur Intel ® Core ™ i3-7020 U

RAM 4 Go

Type du système Système d'exploitation Windows 64 bits

Edition de Windows Windows 10 professionnel

Tableau 1 : Milieu Matériel

Le milieu logiciel est l’ensemble des outils à installer dans l’environnement matériel, il va
nous service pour optimiser nos ressources matérielles et les exploiter au maximum. Le
tableau n°2 présente un aperçu global sur les systèmes et les logiciels à installer.

Nom de l’outil La version

Kali-Linux 2020.4

Windows 10 Professionnel

Tableau 2 : Milieu Logiciel

7
 AHMEDKEFI DNS SPOOFING

8.2. Mise en place de l’attaque :

Au début je dois éditer le fichier de configuration « Ettercap », car c'est notre application de
choix pour aujourd’hui. Alors Naviguons vers le chemin « /etc/Ettercap » et ouvrons le
fichier « etter.dns » avec un éditeur de texte comme « gedit » et éditons le fichier comme il
est indiqué dans la figure suivante :

Figure 5 : Ouverture du Fichier « Etter.dns »

Le fichier « etter.dns » est le fichier hosts et elle est responsable de la redirection des
requêtes DNS spécifiques. Fondamentalement, si la cible entre sur un nom de domaine,
elle sera redirigée vers le site Web entrée précédemment, mais ce fichier peut changer
tout cela. C'est là que la magie opère, alors pour cela on doit l’éditer.

Figure 6 : Fichier « Etter.dns »

8
 AHMEDKEFI DNS SPOOFING

Tout d'abord, Pour rediriger le trafic de n'importe quel site Web d’une machine victime que
je souhait vers ma machine Kali.il faut ajouter une autre ligne dans le fichier « Etter.dns »
juste comme ça en dessous, et utiliser le site Web selon mon choix ici j’utilise le site web
www.facebook.com pour faire l’attaque DNS Spoofing.

Figure 7 : Edition du fichier « Etter.dns »

Maintenant on passe au dossier de page html par défaut. C'est là où je prends le contrôle de ce
que voit la victime lorsqu'elle est redirigée. L'emplacement de ce dossier est « / var / www /
html ».

Figure 8 : Accès au page « index.html »

9
 AHMEDKEFI DNS SPOOFING

Une fois j’ai accédé au dossier « html » on trouve la page index.html et dans ce fichier je
peux modifier le document selon mes besoins et, une fois j’ai terminé les modifications
prendront effet instantanément.

Figure 9 : Modification du Fichier « Index.html »

Nous devons maintenant démarrer Apache pour accepter le trafic entrant.

Figure 10 : Démarrage du Serveur Apache

Maintenant, Pour exécuter l’attaque DNS Spoofing on doit utiliser l’outils Ettercap pour
ouvrir cet outil on peut le faire, de manière boiteuse via le tableau de bord ou en utilisant le
terminal, pour moi je préfère d’ouvrir via le tableau de bord comme il indique la figure n°11.

Figure 11 : L’outil Ettercap

10
 AHMEDKEFI DNS SPOOFING

Maintenant on doit rechercher les cibles sur notre réseau et choisir une machine
victime. Pour ce faire, on accède au chemin suivant « Hôtes Rechercher les hôtes » et
attendez Ettercap qu'il effectue l'analyse, cela ne devrait prendre que quelques secondes en
fonction de la taille du réseau.

Figure 12 : Analyse du Réseau

Une fois l’analyse réseau se termine, ce que nous voulons faire est d'ajouter notre machine
victime à la cible 1 et notre passerelle réseau à la cible 2, mais nous devons d'abord
connaître leurs deux adresses IP, Pour connaître l'adresse IP de notre victime, nous devons
d'abord exécuter la commande « ipconfig » sur le terminal du machine victime comme il
indique la figure n°13.

Figure 13 : Adresse IP du Machine Victime

11
 AHMEDKEFI DNS SPOOFING

Une fois que nous avons sûr de l'identité de notre victime, on doit sélectionnez son adresse IP
dans la liste d'hôtes d'Ettercap et choisissez Ajouter à la cible 1 et Sélectionnez l'adresse IP
de notre passerelle dans la liste des hôtes et choisissez Ajouter à la cible 2 comme il est
illustré dans la figure n°14.

Figure 14 : Ajout des cibles

Une fois que nous avons les deux cibles définies pour notre victime et notre passerelle, nous
pouvons procéder à l'attaque, Pour ce faire nous Allons dans l’onglet « MITM » et
sélectionnez « Empoisonnement ARP », et ensuite on doit choisie l’option « Renifler les
connexions à distance » et un simple clic sur le Button « OK » comme suit.

Figure 15 : Usurpation ARP

12
 AHMEDKEFI DNS SPOOFING

Maintenant, nous allons dans l’onglet « Plugins Gérer les Plugins » et double clic
sur l’option « dns_spoof » pour activer ce plugin.

Figure 16 : Activation de l’attaque DNS Spoofing

9. Conclusion :
Maintenant, chaque fois la victime visite la page Web que nous avons indiqué dans le fichier
etter.dns (dans notre TP, c’est facebook.com), elle sera redirigée vers la page ci- dessous et
avoir l’affichage du message qui nous avons entré précédemment dans le fichier index.html .

Figure 17 : Vérification de l’attaque DNS Spoofing

13