el ladrón en casa me están robando mi conexión wi fi f
Post on 20-Jul-2015
567 Views
Preview:
TRANSCRIPT
El ladrón en casa. ¿Me están robando
mi conexión Wi-Fi?
El caso es que a veces esto nos pasa y puede ser
alguien que haya crackeado nuestra conexión WiFi y
esté utilizándola. Esto es bastante fácil de hacer,
especialmente si dejas la coniguración por defecto del
router, que suele ser una clave WEP (fácil de crackear).
El ladrón en casa. ¿Me están robando
mi conexión Wi-Fi?
Además han descubierto que ciertos fabricantes usan
un algoritmo bastante simple para ponerle un ESSID y
una clave WEP al router, de modo que conociendo el
ESSID podemos saber la contraseña. Por eso
recomiendo cambiar la contraseña por una WPA2-PSK,
y poner un filtrado MAC para hacer nuestra red más
segura.
El ladrón en casa. ¿Me están robando
mi conexión Wi-Fi?
Pues aquí voy como puedes aplicar maliciosamente a
robar todo tipo de tráfico en nuestra red, o a saber si
alguien nos está robando a nosotros.
El ladrón en casa. ¿Me están robando
mi conexión Wi-Fi?
Herramientas:
Voy a explicar todo esto desde Linux, yo uso el Ubuntu
12.10 y recomiendo a todo el mundo que se lo instale
en una partición junto a Windows para tener un equipo
completito: seguridad y compatibilidad.
Vamos a necesitar también las herramientas que yo he
usado, una es dsniff, y la otra, la que uso para escanear
la red, es el ettercap, que también hace lo mismo que
el dsniff pero este último tiene las herramientasseparadas y me gusta más así, para escanear puedes
usar el nmap, que es más sencillo.
El ladrón en casa. ¿Me están robando
mi conexión Wi-Fi?
Herramientas:
Voy a explicar todo esto desde Linux, yo uso el Ubuntu
12.10 y recomiendo a todo el mundo que se lo instale
en una partición junto a Windows para tener un equipo
completito: seguridad y compatibilidad.
Vamos a necesitar también las herramientas que yo he
usado, una es dsniff, y la otra, la que uso para escanear
la red, es el ettercap, que también hace lo mismo que
el dsniff pero este último tiene las herramientasseparadas y me gusta más así, para escanear puedes
usar el nmap, que es más sencillo.
El ladrón en casa. ¿Me están robando
mi conexión Wi-Fi?
Vamos a instalarlas, ettercap y nmap se pueden instalar
desde repositorios, así que corre a una terminal y
escribe:
sudo apt-get install nmap
sudo apt-get install ettercap
El ladrón en casa. ¿Me están robando
mi conexión Wi-Fi? El dsniff me parece que también está en repositorios así
que lo puedes instalar igual. Si no, descargamos el
código de aquí, va en un paquete .tar.gz vamos a
donde lo hemos descargado, y hacemos make, make
install.
piou@laptop:~$ cd Descargas
piou@laptop:~/Descargas$ tar xzvf dsniff-2.3.tar.gz
piou@laptop:~/Descargas$ cd dsniff-2.3/
piou@laptop:~/Descargas/dsniff-2.3$ sudo ./configure
piou@laptop:~/Descargas/dsniff-2.3$ sudo make
piou@laptop:~/Descargas/dsniff-2.3$ sudo make install
El ladrón en casa. ¿Me están robando
mi conexión Wi-Fi? El dsniff me parece que también está en repositorios así
que lo puedes instalar igual. Si no, descargamos el
código de aquí, va en un paquete .tar.gz vamos a
donde lo hemos descargado, y hacemos make, make
install.
piou@laptop:~$ cd Descargas
piou@laptop:~/Descargas$ tar xzvf dsniff-2.3.tar.gz
piou@laptop:~/Descargas$ cd dsniff-2.3/
piou@laptop:~/Descargas/dsniff-2.3$ sudo ./configure
piou@laptop:~/Descargas/dsniff-2.3$ sudo make
piou@laptop:~/Descargas/dsniff-2.3$ sudo make install
El ladrón en casa. ¿Me están robando
mi conexión Wi-Fi? Ya tenemos instaladas todas las herramientas.
Vamos a organizar una situación, si tienes en casa dos
ordenadores conectados a la misma red mejor que
mejor, también se puede hacer con máquinas virtuales.
Supongamos que el router será 192.168.1.1, la ip de la
máquina atacante será 192.168.1.30 y la víctima
192.168.1.60
El ladrón en casa. ¿Me están robando
mi conexión Wi-Fi? Lo primero que haremos será engañar a la máquina
víctima para que piense que nosotros somos el router y
nos mande los paquetes a nosotros en vez de al router.
¿Y eso cómo lo hacemos?
Antes de explicarlo, hay que decir un poco con qué
criterio se mandan los paquetes en una red, aunque
parto de que algo sobre redes sabes.
El ladrón en casa. ¿Me están robando
mi conexión Wi-Fi?
Como sabes la IP es una dirección de direccionamiento
lógico, es decir, del nivel de red del Protocolo TCP/IP, el
que usa internet y la mayoría de redes. Con la IP se
haya el camino hacia la máquina destino, por medio
de encaminadores (routers).
La dirección MAC es una dirección única para cada
máquina del mundo (se supone, luego se pueden
cambiar de manera virtual), y la pone el fabricante,
esta dirección se encarga del direccionamiento físico,
que los datos lleguen al destino, que no haya errores,
etc.
El ladrón en casa. ¿Me están robando
mi conexión Wi-Fi?
Se usa en una capa inferior, la capa de enlace.
Básicamente el computadora crea un paquete con
una cabecera IP que permite saber la IP de destino, el
nivel inferior (nivel de enlace), le mete una cabecera
MAC para poder direccionarlo al destino.
El ladrón en casa. ¿Me están robando
mi conexión Wi-Fi?
Cuando mandamos un paquete necesitamos ambas
direcciones IP y MAC, de forma que cada vez que
enviamos un paquete el router, cuando es un switch
(ahora todos los son), determina a quién está dirigido y
lo manda. Los antiguos HUBs enviaban los paquetes a
todas las máquinas y eran estas quien debían mirar la
cabecera para ver si les pertenecía. Con poner la
tarjeta en modo promiscuo (coge todos los paquetes)
podíamos ver el tráfico dentro de la red.
El ladrón en casa. ¿Me están robando
mi conexión Wi-Fi?
Pero ¿cómo sabe una computadora que dirección MAC
poner? Cada computadora tiene una tabla ARP
(Address Resolution Protocol) en la que guarda las
direcciones IP-MAC de todas las máquinas de la red.
Esta tabla se rellena enviando mensajes ARP request, a
los que se contesta con un ARP reply en el que envía la
dirección MAC de modo que la otra máquina la
conozca.
El ladrón en casa. ¿Me están robando
mi conexión Wi-Fi?
El envenenamiento de ARP (ARP poisoning o ARP
spoofing) consiste en enviar mensajes ARP reply a una
máquina diciendo que el la dirección MAC del router es
la nuestra, de ese modo cuando el paquete llegue del
nivel de red con la IP del router en la cabecera, el nivel
de enlace mirará en la tabla y verá que la MAC de esa
IP es la nuestra, de modo que le pondrá nuestra MAC y
el paquete nos llegará, así conseguiremos capturar el
tráfico que va a nuestra máquina.
El ladrón en casa. ¿Me están robando
mi conexión Wi-Fi?
Esto plantea un problema: es muy probable que la
víctima sospeche si ve que envía paquetes y no le llega
nada, si pone http://www.google.com en la barra de
direcciones no se le abrirá nada. Esto lo arreglamos
activando el IP_forwarding. Nuestro ordenador abrirá el
paquete y lo reenviará a la IP especificada en la
cabecera IP, que es la del router, esta vez con la MAC
verdadera.
El ladrón en casa. ¿Me están robando
mi conexión Wi-Fi?
Empecemos:
Antes de empezar: todo lo que hagamos lo tendremos
que hacer como usuario root.
Lo primero que haremos será buscar hosts (máquinas)
en nuestra red, que es la razón de este tutorial, ya
tenemos descargado el ettercap, que es el que usaré,
lo ejecutamos en modo semi-gráfico, sigue siendo
modo texto, pero mas sencillo.
piou@laptop:~$ sudo ettercap -C
El ladrón en casa. ¿Me están robando
mi conexión Wi-Fi?
Cuando se abra vemos arriba el menú con cuatro
opciones, yo solo voy a usar una para buscar hosts,
pero es un programa bastante completo y te
recomiendo que busques sobre él para saber usarlo.
Podemos navegar por los menús con las teclas de
dirección (lo recomiendo), o con el ratón (no lo
recomiendo).
Vamos a “Sniff” y entramos en “Unified sniffing”. Ahora
nos pedirá la interfaz de red.
El ladrón en casa. ¿Me están robando
mi conexión Wi-Fi?
NOTA: Cada tarjeta de red tiene una interfaz, la interfaz
de mi tarjeta WiFi es wlan0, para saber las interfaces de
nuestras tarjetas abrimos una terminal y ejecutamos:
ifconfig
El ladrón en casa. ¿Me están robando
mi conexión Wi-Fi?
NOTA 2: Por alguna razón, cuando empecé a usar el
programa a veces no me pedía la interfaz y cogía una
por defecto, en mi caso cogía eth0, pero esta no era la
que yo quería. Si te pasa eso, en vez de empezar el
programa como antes empiézalo así:
sudo ettercap -C -i interfaz
Y funcionará con la interfaz que le pongas ahí
El ladrón en casa. ¿Me están robando
mi conexión Wi-Fi?
Una vez hayamos pulsado Unified sniffing y hayamos
puesto la interfaz, nos pondrá en otro menú con más
opciones arriba. Aquí podemos buscar hosts, mandar
ataques ARP, esnifar paquetes aplicando filtros, y un
montón de cosas más, pero a lo que nos interesa,
buscar hosts.
El ladrón en casa. ¿Me están robando
mi conexión Wi-Fi?
En el menú superior vamos a “Hosts” y pulsamos “Scan
for hosts” o pulsamos directamente Ctrl+S
Una vez haya terminado de buscar máquinas en la caja
de texto inferior podremos ver algo como lo siguiente:
Scanning the whole network for 255 hosts…
2 hosts added to the host list…
El ladrón en casa. ¿Me están robando
mi conexión Wi-Fi?
En mi caso el las ips internas de la red están en el rango
192.168.1.x, que es bastante común, y por eso busca
255. Me ha encontrado 2 hosts. Para ver la lista de hosts
podemos pulsar “Hosts” en el menú superior y luego
“Hosts list” o pulsar la tecla h.
Veremos cada una de las direcciones IP y MAC de
cada máquina de la red, router incluido.
Los hosts que veremos son el 192.168.1.1 (router) y
192.168.1.60 (víctima), usa los tuyos porque yo estoy
usando estos para el tutorial.
El ladrón en casa. ¿Me están robando
mi conexión Wi-Fi?
Vamos a activar el ip_forwarding para que la víctima
pueda navegar sin darse cuenta. Escribimos en una
consola como root:
echo 1 > /proc/sys/net/ipv4/ip_forward
Si no recibimos nada es que se ha hecho bien,
podemos comprobarlo con el comando cat
(concatenate)
cat /proc/sys/net/ipv4/ip_forward
1
El ladrón en casa. ¿Me están robando
mi conexión Wi-Fi?
Ahora en esta misma consola realizaremos el
envenamiento de ARP en el sentido de víctima->router.
También podríamos engañar el router para que piense
que la víctima es nuestra computadora e interceptar
también los paquetes que el router manda a la víctima.Usaremos la herramienta arpspoof, que está en el
paquete dsniff.
El ladrón en casa. ¿Me están robando
mi conexión Wi-Fi?
Escribimos en la misma consola:
arpspoof -i wlan0 -t 192.168.1.60 192.168.1.1
El uso es el siguiente:
-i: con esto especificamos la interfaz.
-t: con esto especificamos el objetivo (target) al que
queremos enviar los mensajes “ARP reply”.
El ladrón en casa. ¿Me están robando
mi conexión Wi-Fi?
El último parámetro es la IP que queremos falsear, lo
mensajes serán del modo:
La máquina con la IP 192.168.1.1 está en la MAC
ff:ff:ff:ff:ff:ff esa MAC será la de tu ordenador.
Se envía un mensaje cada pocos segundos de modo
que no haya riesgo de que la víctima consiga las
direcciones legítimas al pedir ella misma las MACs de la
red.
Dejamos al programa trabajar y abrimos otra terminal.
El ladrón en casa. ¿Me están robando
mi conexión Wi-Fi?
En este momento ya tenemos todos los paquetes que
van de la víctima al router pasando por nuestra
computadora. ¿Cómo podemos verlos?
Vamos a hacer uso de las demás herramientas del
paquete dsniff.
El ladrón en casa. ¿Me están robando
mi conexión Wi-Fi?
dsniff
Este es un esniffer normal, intercepta contraseñas entexto plano (ahora no se ven muchas) y otras cosas.
Lo podemos ejecutar (como root):
dsniff -i wlan0 -dd
Ahora veremos todo el tráfico, si ponemos una sola -d
nos dará menos información, y si no ponemos ninguna
solo nos dará contraseñas en texto plano
El ladrón en casa. ¿Me están robando
mi conexión Wi-Fi?
dsniff
Este es un esniffer normal, intercepta contraseñas entexto plano (ahora no se ven muchas) y otras cosas.
Lo podemos ejecutar (como root):
dsniff -i wlan0 -dd
Ahora veremos todo el tráfico, si ponemos una sola -d
nos dará menos información, y si no ponemos ninguna
solo nos dará contraseñas en texto plano
El ladrón en casa. ¿Me están robando
mi conexión Wi-Fi?
webspy
Este programa es bastante sencillo de utilizar, sirve para
ver en nuestro navegador y en tiempo real las páginas
que visita la víctima.
Lo ejecutamos así:
webspy -i interfaz host
host es la IP de la máquina que deseamos espiar (previo
envenenamiento de ARP para que funcione).
El ladrón en casa. ¿Me están robando
mi conexión Wi-Fi?
Ahora abrimos el navegador, dicen que solo funciona
con Chrome, pero a mi me va bien con el Firefox, y
veremos las páginas que la víctima vaya visitando
El ladrón en casa. ¿Me están robando
mi conexión Wi-Fi?
dnsspoof
Con esto podemos hacer que la víctima reciba
respuestas de consultas DNS de la manera que
queramos.
Las consultas DNS consisten en que cuando escribimos
en el navegador una web http://www.google.com, el
navegador envía una consulta DNS al servidor DNS que
nos diga nuestro ISP, y este nos responde con la IP que
corresponde a esa dirección. El dnsspoof nos permite
decirle que ciertas webs están en nuestra máquina.
dnsspoof -i interfaz -f hostsfile
El ladrón en casa. ¿Me están robando
mi conexión Wi-Fi?
En el archivo hostsfile especificamos que direcciones
queremos falsificar. Un ejemplo podría ser:
192.168.1.30 *.hotmail.com
192.168.1.30 *.live.com
El ladrón en casa. ¿Me están robando
mi conexión Wi-Fi?
Primero la ip que queramos que “corresponda” a esa
dirección y luego la dirección.
Esas son algunas de las herramientas del paquete dsniff.
Tiene muchas más, por ejemplo el webmitm, que es
básicamente un proxy en nuestro ordenador y que
podemos usar para esnifar contraseñas encriptadas enSSL usando un certificado falso. No me voy a alargar
más pero recomiendo que busques sobre el tema si te
interesa.
El ladrón en casa. ¿Me están robando
mi conexión Wi-Fi?
¿Cómo defendernos de estos ataques?
Sobre el hecho de colarse en una red WiFi, lo mejor es
activar un filtro MAC y poner una contraseña WPA-PSK2,
que me parece que a día de hoy no se han podido
crackear. Para hacer esto nos vamos a la configuración
del router. En una consola ponemos ifconfig si estamos
en Linux o ipconfig si estamos en Windows. Vemos la
dirección que pone como puerta de enlace. Suele ser
192.168.1.1.
El ladrón en casa. ¿Me están robando
mi conexión Wi-Fi?
Vamos a un navegador y la ponemos, nos pedirá user y
pass. Si nunca las has cambiado suelen ser:
user: 1234 pass: 1234
user: admin pass: admin
user: admin pass: 1234
El ladrón en casa. ¿Me están robando
mi conexión Wi-Fi?
Si no son estas busca en google la marca de tu router y
cuál es su contraseña de fábrica.
Una vez dentro nos iremos al menú que diga
configuración de seguridad o algo así, cambia según la
marca así que no puedo decir uno concreto.
Sobre el ataque que hemos realizado nosotros, suele ser
eficaz crear entradas estáticas en la tabla ARP.
El ladrón en casa. ¿Me están robando
mi conexión Wi-Fi?
Si no son estas busca en google la marca de tu router y
cuál es su contraseña de fábrica.
Una vez dentro nos iremos al menú que diga
configuración de seguridad o algo así, cambia según la
marca así que no puedo decir uno concreto.
Sobre el ataque que hemos realizado nosotros, suele ser
eficaz crear entradas estáticas en la tabla ARP.
El ladrón en casa. ¿Me están robando
mi conexión Wi-Fi?
Podemos ver esta tabla si escribimos en consola:
arp a
Tanto Linux como Windows
Para crear la entrada estática, esto es una entrada que
no cambiará de modo que ignorará los mensajes ARP
reply, aunque en Windows me parece que se pueden
pisar las entradas estáticas, haremos esto:
arp -s IP MAC
El ladrón en casa. ¿Me están robando
mi conexión Wi-Fi?
Para ver si nos están haciendo una falsificación de
consultas DNS, podemos usar el comando nslookup, por
ejemplo, para hotmail.com
nslookup www.hotmail.com
Deberíamos obtener la IP del servidor, si no, es que
estamos sufriendo algún tipo de ataque.
top related