domingo, 23 de septiembre de 2012

ARP Poisoning -  Envenenamiento ARP
Es una tecnica de suplantar la identidad de un dispositivo en una red informatica, cuando mencionamos sobre la suplantaion de identidad de un dispositivo puede ser un host dentro de mi red LAN, un switch o un router....xDD

Envenenamiento ARP

 Lo que hace esta tecnia es tratar de vulnerar la red mediante el protocolo ARP, basicamente se trata de hacer crer a una maquina dentro de mi red que la direccion IP correspondiente a un host dentro de mi red, tiene asociada mi direccion MAC, con esto podemos redireccionar las peticiones que hara esa maquina hacia nuestro host, para que se entienda mas claro y sea mas entendible pondre un ejemplo mas detallado de como se realizaria una peticion de un host hace otro y como el host atacante manda hacia la maquina que esta haciendo la peticion respuestas falsas, esto se conoce como ARP REQUEST, podemos hacernos pasar por otro host dentro d ela misma red para engañar a la maquina que esta haciendo la petición y hacerle creer que nosotros somos la maquina con la quiere conectarse.. se podria decir que es un tipo de usurpación ....=D



Ahora vamos a explicar como funciona basandonos en la imagen..=)

HOST A

Dirección IP : 192.168.1.10
Dirección MAC: 08-00-27-7c-22-9c

HOST B

Dirección IP : 192.168.1.20
Dirección MAC:09-01-67-7y-33-7c


HOST ATACANTE

Dirección IP : 192.168.1.20
Dirección MAC:10-11-54-8t-56-5k


Paso 1.- El host "A" hace una petición tipo ARP REQUEST, hacia el host "B", diciendole mas o menos lo siguiente :"Hi soy el host 192.168.1.10 y mi dirección MAC es 08-00-27-7c-22-9, responde host 192.168.1.20"

Paso 2.-El host "B" escucha la petición del host "A" y responde a este mensaje de la misma forma que el host "A" manda su mensaje, diciendo "Hi host 192.168.1.10 soy el host 192.168.1.20 y mi dirección MAC es 09-01-67-7y-33-7c"

Paso 3.-El host "A"recibe la respuesta del host "B", pero antes de que pueda actualizar su tabla ARP , ahi es donde el host "ATACANTE" entra en acción.


Paso 4.- El host "ATACANTE" le dice al host "A" los siguiente :"Hola soy la maquina 192.168.1.20 y mi dirección MAC es 10-11-54-8t-56-5k".

Como se ve detallado en los ejemplos anteriores , el host atacante envia una respuesta falsa tipo ARP REQUEST envenenando la tabla ARP del host "A", de esta forma el atacante puede realizar varias cosas haciendose pasar por la maquina dentro de la red y dando información falsa a host víctima.


Bueno a continuación voy ha realizar un pequeño ejemplo acerca de ARP Poisoning....=)..Comenzemos!!!!!


En esta ocasión voy a utilizar laa herramientas SSL-Strip,ETTERCAP para poder realizar un ARP poisoning...=D


BACKTRACK5


Nos disponemos a abrir una terminal y digitar lo siguiente..=)

~# echo 1 > /proc/sys/net/ipv4/ip forward


Ahora digitamos :

~# iptables -t nat -A PREROUTING -p tcp --destination -pot 80 -j
REDIRECT --to-port 1000



A continuación necesitamos extraer nuestra dirección IP....=)

~# ifconfig


Una vez que hemos obtenido nuestra dirección IP, procedemos a hacer un escaner con la herramienta nmap..=)

~# nmap -sP 192.168.56.0/24



Como podemos observar ya tenemos la dirección IP de nuestro Router y la de nuestro objetivo..=)

Para seguir con el ataque abrimos otra terminal y digitamos lo siguiente..=D

 ~# arp traffic -i eth0 -t Target´s IP Router´s IP

En mi caso seria asi :

 ~# arp traffic -i eth0 -t 192.168.168.101 192.168.56.1



Nos percatamos que el ataque ya comenzo...yeahhhhhh!!!!!!!!

Por ultimo vamos a usar la herramienta sslstrip...

 SSLSTRIP



La herramienta SSL Strip consiste en hacer creer al usuario que está bajo una conexión segura, ya sea porque el usuario ve un candadito que indica seguridad, sslstrip puede falsificarlo, o por que el usuario no se fija si está bajo tráfico cifrado o no.

Cuando un atacante lanza SSL Strip sobre una víctima, ésta sigue navegando felizmente por la red. El problema viene cuando se conecta a una página bajo HTTPS, la víctima puede observar como el HTTPS ha desaparecido de su navegador, si no se fija en ese pequeño detalle y se autentifique en algún sitio, sus credenciales irán en texto plano hacia la víctima.



Espero que hayan entendido la gran utilidad de esta herramienta....=)
Ahora prosigamos con nuestro ejemplo..=D...Nos disponemos a abrir nuestro SSL-STRIP (No se olviden de no cerrar la otra terminal)...


Una vez que hemos abierto nuesto SSLSTRIP , digitamos lo siguiente...=)

~# python sslstrip.py -l 1000

Y esperamos que comienze a correr ....=)


Por utlimo abrimos una terminal mas (tengan en cuenta que las anteriores terminales deben seguir abiertas...) y nos disponemos a usar nuestro ETTERCAP.


ETTERCAP

La herramienta Ettercap es un interceptor/sniffer para infiltrarse en redes LAN conmutadas (basadas en switch, y no en hub). Soporta direcciones activas y pasivas de varios protocolos (incluso aquellos cifrados, como SSH y HTTPS). También hace posible la inyección de datos en una conexión establecida y filtrado al vuelo aun manteniendo la conexión sincronizada gracias a su poder para establecer un ataque Man in the middle (hombre en medio).

Una vez abierto nuestro ETTERCAP , digitamos lo siguiente...=)

~# ettercap -Tq -i eth0


A continuación buscamos una web que tengo seguridad SSL....mmm mejor dicho que sea una web HTTPS ...=)....
Para esta ocasión escogí a FACEBOOK....=)...Asi que ha escuchar se ha dicho...xD




Luego de haber ingresado a nuestro face...vamos a la anterior terminal ... y....=O...=O.....=O
Yeahhhhhhh!!!.....hemos podido escuchar lo que hemos ingresado...=D





Bueno creo que ya llegamos al final de este post...=) espero que hayan entendido y sea de de utilidades para ustedes....Me despido y sera hasta la próxima ...Nos vemos...=D








1 comentario: