ataque mitm por arp spoofing + sniffing

posted on: 08-25-2014 with: 2 COMMENTS

Hola a todos, antes de comenzar me gustara agradecer a Highsec la oportunidad que me dan de participar en su pgina para compartir conocimientoentre todos los que estamos interesados en esta rama de la informtica. Este es mi primer post, y espero que lo disfruteis.En este post de hoy os voy a mostrar los fundamentos de arp spoofing, ataque Man in the Midle por arp spoofing y sniffing de trafico con driftnet,urlsnarf y sslstrip.

Arp Spoofing:Antes de explicar como realizar arp spoofing, Qu es arp?Arp es el protocolo de resolucin de direcciones (Address Resolution Protocol) mediante el cual en una red interna se obtiene una direccin fsica apartir de una direccin IP. La importancia de este protocolo es que la gran mayora de redes domsticas y corporativas utilizan asignacin dinmica deIps, por lo que la direccin IP de un equipo puede variar, esto hace que la direccin IP no sirva como identificador inequvoco del equipo. Sin embargo,la direccin de la tarjeta de red si que es nica. Y es lo que se utiliza para mandar un paquete a un equipo.Arp proporciona el servicio de otorgar una direccin fsica a partir de una direccin IP.El envo de paquetes de el equipo A(IP=192.168.1.AA, MAC=AA:AA:AA:AA:AA:AA) al equipo B(192.168.1.BB,MAC=BB:BB:BB:BB:BB:BB) funcionara dela siguiente forma.1) A pregunta: Qu direccin fsica tiene la direccin IP 192.168.1.BB?2) B responde: A la direccin IP 192.168.1.BB le corresponde la direccin MAC BB:BB:BB:BB:BB:BB3) A registra en su tabla ARP, todo paquete que se tenga que enviar a la direccin IP 192.168.1.BB, envese a la direccin MAC BB:BB:BB:BB:BB:BB

En una conexin legtima, cabe esperar que la respuesta recibida despus de lanzar la consulta ARP 1) sea la correcta, pero si alguien generase unarespuesta ilegtima correctamente generada, se podra interceptar la comunicacin saliente del equipo A al equipo B.

MITM:Esta tcnica de arp spoofing, si se hace de manera bidireccional obtenemos el resultado de un ataque man in the middle. El trfico de AB pasarapor el equipo H(Hacker) de la misma forma que lo hara el trfico BA

HIGHSECHIGHSEC BLOGBLOG CTFCTF EVENTOSEVENTOS VARIOSVARIOS

Ataque MITM por ARP Spoofing + Sniffing 21/03/2015

http://highsec.es/2014/08/ataque-mitm-por-arp-spoofing-sniffing/ 1 / 5

Sniffing:Una vez sabemos que todo el trfico de A y B pasa por H, interesara esnifar este trfico entre las vctimas para explotarlo. Para este propsito sepueden utilizar sniffers de propsito general como Wireshark, o sniffers especficos, como:Sslstrip: Redirige el trfico https a trfico http para sacar cuentas y contraseas en texto planoDriftnet: Sniffing de imgenesUrlsnarf: Sniffing de URLs

Manos a la obra:

Para esta demostracin, voy a utilizar una mquina atacante Debian Wheezy, y una mquina vctima virtualizada Kali Linux.

Antes de comenzar queremos preparar nuestro equipo para el ataque man in the middle, y una de las cosas que necesitamos es la redireccin detrfico. Por lo que tenemos que comprobar el contenido del fichero binario que se encuentra en /proc/sys/net/ipv4/ip_forward



$ cat /proc/sys/net/ipv4/ip_forward0 es el contenido por default.Para habilitar el trfico solo tenemos que volcar un 1 en dicho fichero.$ echo 1 > /proc/sys/net/ipv4/ip_forward

Una vez hecho esto queremos redirigir todo el trfico http al puerto 8080 para poder realizar correctamente el sniffing. Esto lo haremos con el comandoiptables$ iptables -t nat -A PREROUTING -p tcp destination-port 80 -j REDIRECT to-port 8080

Una vez hecho esto nuestro equipo esta preparado para el ataque. Ahora necesitamos abrir 2 terminales para realizar el arp spoofing en las 2direcciones.Para ello utilizaremos los siguientes comandos$ arpspoof -i #interfaz# -t #IP equipo A# #IP equipo B#$ arpspoof -i #interfaz# -t #IP equipo B# #IP equipo A#Aqui vemos la salida del ltimo de estos dos.

Donde el equipo A ser la direccin IP de nuestra vctima, y B ser otro equipo, en este caso la direccin IP del router.Veamos las tablas arp de nuestra vctima antes del envenenamiento

Y despus del envenenamiento

Como vemos, todo el trfico saliente de nuestra vctima pasa por nosotros, y de la misma forma el trfico del router a la vctima tambin.Ahora nuestro equipo est en la posicin de MITM entre nuestra vctima y el router, llega el momento de colocar los sniffersPara comenzar utilizaremos sslstrip, que esnife el puerto 8080, reinicie las conexiones de nuestra vctima a sus pginas actuales y escriba la salida delresultado en un fichero determinado$ sslstrip -k -l 8080 -w fichero

Despus el sniffer de las urls, urlsnarf, al cual especificaremos la interfaz la cual esnifar, y puesto que no tiene opcin de sacar el resultado a unfichero utilizaremos el comando tee$ urlsnarf -i interfaz | tee fichero

Y por ltimo el sniffer de imgenes driftnet que las almacenar en una carpeta$ driftnet -a -d directorio -p -i wlan0

Despus de un rato podremos ver como los ficheros se van llenando de informacin, aqu vemos un ejemplo de salida de uno de los ficherosobtenidos, el fichero obtenido por sslstrip, el cual me parece el resultado ms interesante de los 3. En el que podemos apreciar cuentas de paginascomo facebook, dropbox, y bank of america.

Tcticas de defensa:

Una tctica de defensa posible contra este ataque es la de utilizar tablas arp estticas, sin cach arp, no hay nada que envenenar por lo que esteataque sera inviable, el problema es la carga de trabajo de esta solucin sobre todo para redes corporativas medianamente grandes, ya que cada vezque se cambie la direccin ip de un equipo, o se aadan ms equipos, hay que actualizar las tablas de todos los equipos de la red.

Otra solucin es comprobar peridicamente el estado de las tablas arp, hay una herramienta UNIX que nos ayuda a automatizar esta tarea, estaherramienta es Arpwatch, la cual nos manda un correo electrnico cada vez que haya un cambio en la tabla arp.

Y como tercera solucin al arp spoofing. es el utilizar RARP en vez de ARP, esto es Reverse Address Resolution Protocol, en el que a partir de unadireccin MAC nos devuelve una direccin IP, si nos devuelve ms de una direccin IP esque esta MAC ha sido clonada.

Por ltimo, como costumbre es conveniente navegar en trfico https en vez de http, ya que el trfico https est cifrado.



2 COMMENTS 0 TRACKBACK

ABOUT AUTHOR

Gonzalo Abad Perez

Estudiante de Doble Grado en Ingeniera Informtica y Matemticas por la UAM. Apasionado de la seguridad informtica y la criptografatwitter: @gonabad94 mail: [email protected] all posts by gonzalo abad perez

NAME *

EMAIL *

WEBSITE

Cdigo CAPTCHA *

Espero que os haya gustado.Un saludo, Gonzalo.Email: [email protected]: @gonabad94

categories: VARIOS

tags: ARP, MITM

Saira Isaac Hernandez 08-25-2014

Muy buen post felicidades y espero seguir leyendo mas .

RESPONDER

Zack 09-01-2014

Hola:

Muy buenos e instructivos los posts que subs. Espero que mantengis este nivel porque se aprende y se refrescan muchosconocimientos. Solo os aconsejara una cosa, y es que si no os cuesta mucho trabajo, las imgenes de los enlaces las pongis en untamao mayor en la imagen que se despliega cuando se hace click en dichos enlaces, ya que algunas se ven en un tamao muyreducido.

Saludos.

RESPONDER



ataque mitm por arp spoofing + sniffing

Documents