View
1.409
Download
1
Category
Preview:
Citation preview
Ataque MitM usando
ettercapClase 5 A
21/03/2013
Ataque MitM usando ettercap
En este tutorial voy a enseñar cómo usar ettercap para realizar un ataque
de infiltración en red local como es el MitM (Man in the Middle -> Hombre
en el Medio).
Podemos usar este ataque para interceptar tráfico entre dos máquinas de
una red para luego analizarlo.
Estos ataques son útiles para multitud de cosas, podemos usarlo para
probar la seguridad de nuestra red y la de aplicaciones; podemos
interceptar contraseñas enviadas en texto plano y nombres de usuario. Y
en este tutorial se quedará en eso. También podemos usar filtros y plugins
como colectores de contraseñas en muchos protocolos, como telnet o ftp,
y más cosas, nos limitaremos a explicar tan solo los ataques MitM.
Ataque MitM usando ettercap
En este tutorial voy a enseñar cómo usar ettercap para realizar un ataque
de infiltración en red local como es el MitM (Man in the Middle -> Hombre
en el Medio).
Podemos usar este ataque para interceptar tráfico entre dos máquinas de
una red para luego analizarlo.
Estos ataques son útiles para multitud de cosas, podemos usarlo para
probar la seguridad de nuestra red y la de aplicaciones; podemos
interceptar contraseñas enviadas en texto plano y nombres de usuario. Y
en este tutorial se quedará en eso. También podemos usar filtros y plugins
como colectores de contraseñas en muchos protocolos, como telnet o ftp,
y más cosas, nos limitaremos a explicar tan solo los ataques MitM.
Ataque MitM usando ettercap
Por ejemplo con la herramienta, el ARP Posoning nos permite hacernos de
los paquetes de cualquiera de los sentidos, o de ambos. En este tutorial
veremos como interceptar la comunicación entre una computadora y el
router.
Ataque MitM usando ettercap
Las IPs de las máquinas en este tutorial son:
192.168.1.35: máquina atacante con Ubuntu.
192.168.1.36: máquina víctima con Windows 7 Home Premium
192.168.1.1: router
Ataque MitM usando ettercap
Lo primero abrimos una terminal y ejecutamos ettercap con permisos de
superusuario y en modo gráfico:
sudo ettercap -C
Ataque MitM usando ettercap
Nos vamos al menú sniff (para moverte por los menús puedes usar las
flechas de dirección y la tecla Enter) y pulsamos sobre Unified Sniffing
Ataque MitM usando ettercap
Ahora nos pedirá la interfaz sobre la que trabajar. Como explicamos
anteriormente, a cada hardware de red le corresponde una interfaz. Yo
estoy en una red WiFi y en mi ordenador tengo una terjeta WiFi y una
Ethernet, con interfaces wlan0 y eth0 respectivamente, así que usaré
wlan0. Para mirar las interfaces de tu hardware escribe le comando
ifconfig en un terminal. Escribimos la interfaz y pulsamos Enter:
Ataque MitM usando ettercap
Ahora escanearemos la red en busca de “Hosts” o máquinas. Para ello
pulsamos sobre Hosts->Scan for Hosts o directamente con Ctrl+S:
Veremos una barra de progreso y podremos ver que está escaneando la
red:
Ataque MitM usando ettercap
Una vez terminado podremos leer abajo las computadoras encontradas,
para ver los Hosts pulsamos sobre Hosts->Hosts list o directamente la tecla
“h” Podremos ver las relaciones entre dirección IP-MAC:
Ataque MitM usando ettercap
Ahora lo que haremos será indicarle que haga un ataque ARP Poisoning
en ambos sentidos entre las direcciones IP 192.168.1.1 y 192.168.1.36. Para
ello podemos ir al menú Targets->Select Target(s), pero yo lo hago de una
forma mucho más rápida. En la pantalla Hosts list, si pulsamos el número 1
sobre una dirección, esta pasará a la lista de Target 1, y si pulsamos el 2, irá
a Target 2, así que ponemos el cursor sobre 192.168.1.1 (en mi caso), y
pulsamos la tecla 1, luego lo ponemos sobre la otra máquina y pulsamos la
tecla 2 y luego la 1, y para acabar vamos otra vez a la primera y pulsamos
la 2. Si ahora vamos al menú Targets->Current Targets (t), podremos ver la
tabla con ambos sentidos para el ARP Poisoning
Ataque MitM usando ettercap
Ataque MitM usando ettercap
Ahora vamos a realizar el ARP Poisoning, para ello vamos al menú MitM y
pulsamos sobre ARP Poisoning. Nos aparecerá una barra llamada
parameters, aquí escribimos la palabra remote y pulsamos Enter. Veremos
en la parte inferior que se hace el ataque en ambas direcciones
Ataque MitM usando ettercap
Ahora vamos a realizar el ARP Poisoning, para ello vamos al menú MitM y
pulsamos sobre ARP Poisoning. Nos aparecerá una barra llamada
parameters, aquí escribimos la palabra remote y pulsamos Enter. Veremos
en la parte inferior que se hace el ataque en ambas direcciones
Ataque MitM usando ettercap
Ataque MitM usando ettercap
Ahora ya solo hay que empezar a esnifar, vamos al menú Start->Start
Sniffing, y veremos que dice Starting Unified Sniffing…
Para ver todas las conexiones en crudo vamos a View->Connections (C), y
podremos ver una tabla con las conexiones entrantes y salientes.
Podemos ver el contenido de los paquetes navegando entre ellos con las
flechas de dirección y pulsando la tecla Enter.
Ataque MitM usando ettercap
Por ejemplo, en los paquetes dirigidos al puerto 53 (DNS), podremos ver
qué páginas está visitando el atacante.
Podemos también combinar esto con el uso de otros programas, como por
ejemplo ponerle un dnsspoof y un proxy con un certificado falso en nuestro
ordenador para robar información que vaya encriptada por SSL.
Ataque MitM usando ettercap
¿Cómo evitar esto?
Evitar este tipo de ataques es muy sencillo, para comprobar que no nos lo
están haciendo en un terminal podemos escribir:
arp -a
Así podemos ver el contenido de la tabla arp, si vemos que alguna
máquina tiene la misma MAC que el router, es que esa máquina nos está
enviando mensajes ARP Reply falsos.
Ataque MitM usando ettercap
¿Esto cómo se evita?
Poniendo entradas estáticas en la tabla arp para cada máquina, la
dirección MAC es una dirección física dada por el fabricante y no
“debería” cambiar, así este método no tiene por que dar ningún
problema. Estas entradas no se pueden modificar con mensajes ARP,
aunque en Windows si puede suceder, en Linux no y aquí estamos a salvo.
Lo malo es que algunos routers al reiniciarse le van dando direcciones IP
en orden a las máquinas según se vayan conectando a él en vez de darle
las mismas de antes, y habría que rehacer la tabla ARP.
Ataque MitM usando ettercap
Para crear una entrada estática en Windows hacemos lo siguiente:
arp -s direcciónIP direcciónMAC
Recommended