Ataque MITM mediante ARP Poisoning con Kali Linux

15:08 1 Comments A+ a-

Primero vamos a definir lo que es una ataque Mitm, que no es mas que un tipo de ataque donde el atacante tiene la capacidad de leer, interceptar y modificar la comunicación entre dos partes sin que se den cuenta que el enlace entre ellos ha sido violado. Vamos a verlo un poco mas gráfico.


 
Que voy a usar para llevar a cabo mi ataque,

Kali Linux y un maquina virtual que es la que voy a atacar para mostrarles como se hace. Aqui vamos a usar Ettercap y Wireshark para sniffear los paquetes

En Kali Linux Abrimos Ettercap

Linux

Vamos a Sniff, y Seleccionamos Unified Sniffing

kali

Seleccionamos la interfaz por donde vamos a interceptar los Paquetes

arp

Vamos al Menu Hosts, y Seleccionamos Scan for Hosts.

mitm

Una vez Finalice, Vamos nuevamente al menu Hosts, y Seleccionamos Hosts List.

Poisoning

Aqui vamos a ver todas las máquinas que estan conectadas a la misma red.

Ataque MITM mediante ARP Poisoning con Kali Linux

En este punto debemos saber cual es el Gateway, en este caso es 10.0.0.1, y lo que vamos a hacer es tomar una de las máquinas que estan conectadas como victima y le vamos a modificar la tabla ARP para que su máquina piense que nuestra máquina atacante es su gateway y mande todos sus paquetes hacia ella, de esta forma lo podemos capturar. Pero primero vamos a ver una tabla ARP no comprometida.

GNU

Fijense en la Direcciones Fisicas de la 10.0.0.1 que es el Gateway y la 10.0.0.10 que es nuestra máquina atacante. Vamos a infectar la Tabla ARP para que la pc Víctima nos envie sus paquetes.

Volvemos a Ettercap, Elegimos el Gateway y le damos a Add to target 1

Linux

Ahora elegimos nuestra Víctima, y damos click a Add to target 2, En este caso voy a elegir la máquina virtual con Windows XP 10.0.0.15.

kali

Ya que tenemos los 2 Objetos, vamos a infectar la Tabla ARP de nuestra Victima. Para esto vamos al menu MITM y damos click en ARP Poisoning.

arp

Seleccionamos Sniff Remote connections y le Damos OK.

mitm

Vamos a volver a nuestra Máquina victima a confirmar la Tabla ARP.

Poisoning

Fijense ahora en las Direcciones físicas del Gateway (10.0.0.1) y de nuestra máquina Atacante (10.0.0.10), nos damos cuenta que son las mismas, esto quiere decir que a partir de este momento todos los paquetes de nuestra máquina víctima van a pasar primero por nuestra máquina atacante antes de llegar a su Destino.

Para captar estos paquetes podemos usar el mismo Ettercap pero me gusta usar Wireshark ya que puedo filtrar las conexiones que realmente me interesan, para darles un ejemplo, una conexión Telnet donde las credenciales viajan en texto plano, entre otros.

Ataque MITM mediante ARP Poisoning con Kali Linux

Y Ahora nos preguntamos, Que puedo hacer una vez puedo captar el Tráfico? Podemos captar contraseñas de conexiones no seguras, podemos modificar los paquetes durante el trayecto, y nos da la habilidad de llevar a cabo varios subAtaques que en un próximo articulo voy a profundizar.

Es importante mencionar, que una vez finalicemos de captar el tráfico, debemos detener el Ataque Mitm ya que si nos salimos de la red, la víctima perderá la conexión. Para esto volvemos a Ettercap, Vamos al menu Mitm, y damos Click a Stop Mitm Attack

GNU

En Este punto la tabla ARP de la Víctima vuelve a la normalidad.

Aqui vimos lo sencillo que es llevar a cabo este Ataque y al menos que no revisemos nuestra tabla ARP no nos damos cuenta de que estamos siendo víctima de un ataque del hombre en el medio. Por eso finalizo dando algunas recomendaciones, cuidemónos mucho de las conexiones WiFi públicas ya que somos un blanco fácil cuando estamos conectadas a ellas, la misma recomendaciones van a los que tiene Puntos de acceso en sus negocios y dejan que sus clientes se conecten a ella, realmente no sabemos las intenciones de estos usuarios y es por esta razón que en estos casos debemos crear una red aislada para estos usuarios para que no tengan acceso a nuestra red interna. Otro dato es que existen diversas herramientas que nos permiten llevar a cabo este tipo de ataques desde un Smartphone.

Esto es todo por el momento, esperen mas articulos, en el caso de los usuarios de Linux voy a publicar un artículo donde podemos usar una herramienta que nos alerte en caso de cualquier cambio en nuesta tabla ARP, de esta manera nos protegemos de este tipo de ataques. Estaré dedicando además un artículo exclusivo para Wireshark para que aprendamos a manejarlo.
  Fuente: jsitech.com

1 comentarios:

Write comentarios
Anónimo
AUTHOR
8 de septiembre de 2015, 15:58 delete

excellent article, go on like this

Reply
avatar