Ataque MITM mediante ARP Poisoning con Kali Linux

 

Que voy a usar para llevar a cabo mi ataque,

Kali Linux y un maquina virtual que es la que voy a atacar para mostrarles como se hace. Aqui vamos a usar Ettercap y Wireshark para sniffear los paquetes

En Kali Linux Abrimos Ettercap



Vamos a Sniff, y Seleccionamos Unified Sniffing



Seleccionamos la interfaz por donde vamos a interceptar los Paquetes



Vamos al Menu Hosts, y Seleccionamos Scan for Hosts.



Una vez Finalice, Vamos nuevamente al menu Hosts, y Seleccionamos Hosts List.



Aqui vamos a ver todas las máquinas que estan conectadas a la misma red.



En este punto debemos saber cual es el Gateway, en este caso es 10.0.0.1, y lo que vamos a hacer es tomar una de las máquinas que estan conectadas como victima y le vamos a modificar la tabla ARP para que su máquina piense que nuestra máquina atacante es su gateway y mande todos sus paquetes hacia ella, de esta forma lo podemos capturar. Pero primero vamos a ver una tabla ARP no comprometida.



Fijense en la Direcciones Fisicas de la 10.0.0.1 que es el Gateway y la 10.0.0.10 que es nuestra máquina atacante. Vamos a infectar la Tabla ARP para que la pc Víctima nos envie sus paquetes.

Volvemos a Ettercap, Elegimos el Gateway y le damos a Add to target 1



Ahora elegimos nuestra Víctima, y damos click a Add to target 2, En este caso voy a elegir la máquina virtual con Windows XP 10.0.0.15.



Ya que tenemos los 2 Objetos, vamos a infectar la Tabla ARP de nuestra Victima. Para esto vamos al menu MITM y damos click en ARP Poisoning.



Seleccionamos Sniff Remote connections y le Damos OK.



Vamos a volver a nuestra Máquina victima a confirmar la Tabla ARP.



Fijense ahora en las Direcciones físicas del Gateway (10.0.0.1) y de nuestra máquina Atacante (10.0.0.10), nos damos cuenta que son las mismas, esto quiere decir que a partir de este momento todos los paquetes de nuestra máquina víctima van a pasar primero por nuestra máquina atacante antes de llegar a su Destino.

Para captar estos paquetes podemos usar el mismo Ettercap pero me gusta usar Wireshark ya que puedo filtrar las conexiones que realmente me interesan, para darles un ejemplo, una conexión Telnet donde las credenciales viajan en texto plano, entre otros.



Y Ahora nos preguntamos, Que puedo hacer una vez puedo captar el Tráfico? Podemos captar contraseñas de conexiones no seguras, podemos modificar los paquetes durante el trayecto, y nos da la habilidad de llevar a cabo varios subAtaques que en un próximo articulo voy a profundizar.

Es importante mencionar, que una vez finalicemos de captar el tráfico, debemos detener el Ataque Mitm ya que si nos salimos de la red, la víctima perderá la conexión. Para esto volvemos a Ettercap, Vamos al menu Mitm, y damos Click a Stop Mitm Attack



En Este punto la tabla ARP de la Víctima vuelve a la normalidad.

Aqui vimos lo sencillo que es llevar a cabo este Ataque y al menos que no revisemos nuestra tabla ARP no nos damos cuenta de que estamos siendo víctima de un ataque del hombre en el medio. Por eso finalizo dando algunas recomendaciones, cuidemónos mucho de las conexiones WiFi públicas ya que somos un blanco fácil cuando estamos conectadas a ellas, la misma recomendaciones van a los que tiene Puntos de acceso en sus negocios y dejan que sus clientes se conecten a ella, realmente no sabemos las intenciones de estos usuarios y es por esta razón que en estos casos debemos crear una red aislada para estos usuarios para que no tengan acceso a nuestra red interna. Otro dato es que existen diversas herramientas que nos permiten llevar a cabo este tipo de ataques desde un Smartphone.

Esto es todo por el momento, esperen mas articulos, en el caso de los usuarios de Linux voy a publicar un artículo donde podemos usar una herramienta que nos alerte en caso de cualquier cambio en nuesta tabla ARP, de esta manera nos protegemos de este tipo de ataques. Estaré dedicando además un artículo exclusivo para Wireshark para que aprendamos a manejarlo.