Páginas

Sniffing, MitM, ARP Spoofing y Pharming

Sniffing, Man in the Middle, ARP Spoofing y Pharming con Caín & Abel

En este artículo comprobaremos las vulnerabilidades de protocolos como ARP y DNS dividiéndola en tres partes: Sniffing, ARP Spoofing y Pharming


Utilizaremos una herramienta para sistemas Windows denominaba Caín & Abel con licencia freeware disponible en  http://www.oxid.it/cain.html




La instalación  se realiza en los siguientes pasos.






Al finalizar la instalación nos mostrara un error indicándonos que tendremos problemas con el firewall para trabajar correctamente.

Deshabilitamos el Firewall de Windows.


Ejecutamos el programa y configuramos la tarjeta de red.

Sniffing


Herramientas como Wireshark, NMAP o Caín & Abel permiten realizar una monitorización de que equipos se encuentran conectados en una red y que puertos y aplicaciones utilizan.
Iniciamos Caín y seguimos los siguientes pasos, seleccionamos en el menú superior la pestaña Sniffer y en la inferior Hosts, y pulsamos sobre el botón de sniffing para escanear nuestra red para obtener la IP y MAC de los equipos que se encuentran conectados


Al ejecutarlo por primera vez  nos enviara a configurar la tarjeta de red, verificamos que están bien nuestros datos y aceptamos.


Pulsamos de nuevo sobre el botón de sniffing  y al icono + para confirmar el rango de escaneo y pulsamos OK


Después de realizar el escaneo nos aparecerán los equipos conectados a nuestra red.


Elegimos nuestra víctima, hacemos clic derecho sobre ella y pulsamos Resolve Host Name para ver el nombre del equipo



ARP Spoofing

También conocido como ARP Poisoning o envenenamiento de red, es una técnica usada para infiltrarse en una red Ethernet conmutada, basada en switchs no en hub, que permitirá al atacante monitorizar paquetes de datos en la LAN e incluso modificarlos realizando un ataque man in the middle.
ARP Spoofing envía mensajes ARP falsos a los equipos de la LAN.
Su finalidad es asociar la dirección MAC del atacante con la dirección IP de otro equipo, como por ejemplo la puerta de enlace predeterminada, Gateway.
De esta forma conseguimos que el trafico dirigido a esa IP del equipo suplantado sea enviado al atacante en lugar de a su destino real.
El atacante podrá elegir si reenviar el tráfico al equipo real, ataque pasivo o escucha, o modificar los datos antes de reenviarlos, ataque activo.
Para realizar un ataque ARP Poisoning  pulsamos en la pestaña inferior ARP y pulsamos en el botón superior +.



Ahora lo que haremos es seleccionar al equipo win7SAD y el equipo que hace de puerta de enlace para suplantar su MAC y capturar el tráfico.


En el momento que la víctima comience a conectarse a páginas web comenzaremos a ver el tráfico que va generando.


Pulsamos  en la pestaña inferior  Passwords y en la lista que aparece en la izquierda con los protocolos vulnerables seleccionamos HTTP.
Desde ahí vamos a obtener los datos del usuario cuando intente conectarse a una página web. Lo podemos comprobar en la siguiente imagen si nos fijamos en las columnas Username y Password.


Podemos comprobar el envenenamiento desde la consola de comandos introduciendo arp –a para que nos muestre la tabla.
Observamos que el equipo 192.168.2.114 (atacante) ha suplantado la dirección MAC del equipo con la IP 192.168.2.150 (puerta de enlace).



Pharming

Con el Pharming lo que hacemos es redirigir al usuario a una página web falsa haciéndole creer que es la buena y robarle sus datos, por ejemplo al acceder con un usuario a una web.
Nos situamos en Snifer y pulsamos la pestaña inferior ARP.
En la parte izquierda seleccionamos ARP-DNS y pulsamos el signo + para escribir la dirección web de la página que vamos a falsificar junto con la dirección IP a la que vamos a redirigir a la víctima.


A partir de este momento cada vez que la víctima se conecte a la web spoofeada podremos comprobarlo desde la columna Resp. Spoofed donde nos indicara la cantidad de conexiones que ha realizado.


Para evitar este tipo de ataques es muy recomendable el uso de tablas ARP estáticas utilizando el comando arp -s IP MAC para configurar la tabla y evitar ser redireccionados.


En caso de las redes con gran cantidad de administración podemos utilizar software de detección de intrusos como SNORT para monitorizar los intentos de modificación de tablas ARP.


Publicado por
Etiquetas: , , , , ,

2 comentarios:

  1. alfalima8 de diciembre de 2015, 13:59

    gracias por tus aportes admiro tu capacidad

    espero aprender para llegar hacer como tu

    ResponderEliminar
    Respuestas
    1. DVWeb9 de diciembre de 2015, 19:24

      Gracias a ti por tu comentario, espero que encuentres mas entradas interesantes en el blog, un saludo!!!

      Eliminar

Suscribirse a: Enviar comentarios (Atom)