Ataque mit m usando ettercap a

Ataque MitM usando

ettercapClase 5 A

21/03/2013

Ataque MitM usando ettercap

En este tutorial voy a enseñar cómo usar ettercap para realizar un ataque

de infiltración en red local como es el MitM (Man in the Middle -> Hombre

en el Medio).

Podemos usar este ataque para interceptar tráfico entre dos máquinas de

una red para luego analizarlo.

Estos ataques son útiles para multitud de cosas, podemos usarlo para

probar la seguridad de nuestra red y la de aplicaciones; podemos

interceptar contraseñas enviadas en texto plano y nombres de usuario. Y

en este tutorial se quedará en eso. También podemos usar filtros y plugins

como colectores de contraseñas en muchos protocolos, como telnet o ftp,

y más cosas, nos limitaremos a explicar tan solo los ataques MitM.


Por ejemplo con la herramienta, el ARP Posoning nos permite hacernos de

los paquetes de cualquiera de los sentidos, o de ambos. En este tutorial

veremos como interceptar la comunicación entre una computadora y el

router.


Las IPs de las máquinas en este tutorial son:

192.168.1.35: máquina atacante con Ubuntu.

192.168.1.36: máquina víctima con Windows 7 Home Premium

192.168.1.1: router


Lo primero abrimos una terminal y ejecutamos ettercap con permisos de

superusuario y en modo gráfico:

sudo ettercap -C


Nos vamos al menú sniff (para moverte por los menús puedes usar las

flechas de dirección y la tecla Enter) y pulsamos sobre Unified Sniffing


Ahora nos pedirá la interfaz sobre la que trabajar. Como explicamos

anteriormente, a cada hardware de red le corresponde una interfaz. Yo

estoy en una red WiFi y en mi ordenador tengo una terjeta WiFi y una

Ethernet, con interfaces wlan0 y eth0 respectivamente, así que usaré

wlan0. Para mirar las interfaces de tu hardware escribe le comando

ifconfig en un terminal. Escribimos la interfaz y pulsamos Enter:


Ahora escanearemos la red en busca de “Hosts” o máquinas. Para ello

pulsamos sobre Hosts->Scan for Hosts o directamente con Ctrl+S:

Veremos una barra de progreso y podremos ver que está escaneando la

red:


Una vez terminado podremos leer abajo las computadoras encontradas,

para ver los Hosts pulsamos sobre Hosts->Hosts list o directamente la tecla

“h” Podremos ver las relaciones entre dirección IP-MAC:


Ahora lo que haremos será indicarle que haga un ataque ARP Poisoning

en ambos sentidos entre las direcciones IP 192.168.1.1 y 192.168.1.36. Para

ello podemos ir al menú Targets->Select Target(s), pero yo lo hago de una

forma mucho más rápida. En la pantalla Hosts list, si pulsamos el número 1

sobre una dirección, esta pasará a la lista de Target 1, y si pulsamos el 2, irá

a Target 2, así que ponemos el cursor sobre 192.168.1.1 (en mi caso), y

pulsamos la tecla 1, luego lo ponemos sobre la otra máquina y pulsamos la

tecla 2 y luego la 1, y para acabar vamos otra vez a la primera y pulsamos

la 2. Si ahora vamos al menú Targets->Current Targets (t), podremos ver la

tabla con ambos sentidos para el ARP Poisoning


Ahora vamos a realizar el ARP Poisoning, para ello vamos al menú MitM y

pulsamos sobre ARP Poisoning. Nos aparecerá una barra llamada

parameters, aquí escribimos la palabra remote y pulsamos Enter. Veremos

en la parte inferior que se hace el ataque en ambas direcciones


Ahora ya solo hay que empezar a esnifar, vamos al menú Start->Start

Sniffing, y veremos que dice Starting Unified Sniffing…

Para ver todas las conexiones en crudo vamos a View->Connections (C), y

podremos ver una tabla con las conexiones entrantes y salientes.

Podemos ver el contenido de los paquetes navegando entre ellos con las

flechas de dirección y pulsando la tecla Enter.


Por ejemplo, en los paquetes dirigidos al puerto 53 (DNS), podremos ver

qué páginas está visitando el atacante.

Podemos también combinar esto con el uso de otros programas, como por

ejemplo ponerle un dnsspoof y un proxy con un certificado falso en nuestro

ordenador para robar información que vaya encriptada por SSL.


¿Cómo evitar esto?

Evitar este tipo de ataques es muy sencillo, para comprobar que no nos lo

están haciendo en un terminal podemos escribir:

arp -a

Así podemos ver el contenido de la tabla arp, si vemos que alguna

máquina tiene la misma MAC que el router, es que esa máquina nos está

enviando mensajes ARP Reply falsos.


¿Esto cómo se evita?

Poniendo entradas estáticas en la tabla arp para cada máquina, la

dirección MAC es una dirección física dada por el fabricante y no

“debería” cambiar, así este método no tiene por que dar ningún

problema. Estas entradas no se pueden modificar con mensajes ARP,

aunque en Windows si puede suceder, en Linux no y aquí estamos a salvo.

Lo malo es que algunos routers al reiniciarse le van dando direcciones IP

en orden a las máquinas según se vayan conectando a él en vez de darle

las mismas de antes, y habría que rehacer la tabla ARP.


Para crear una entrada estática en Windows hacemos lo siguiente:

arp -s direcciónIP direcciónMAC

Ataque mit m usando ettercap a

Documents

Transcript of Ataque mit m usando ettercap a