Ataque MitM usando ettercap


En este tutorial voy a enseñar cómo usar ettercap para realizar un ataque de infiltración en red local como es el MitM (Man in the Middle -> Hombre en el Medio).
Podemos usar este ataque para interceptar tráfico entre dos máquinas de una red para luego analizarlo.
Voya obviar algunas explicaciones, remitiendo a otro artículo de este blog, en el que explico esto mismo llevado a cabo con otros programas y explico los cómo y por qué vamos haciendo cada cosa.

Estos ataques son útiles para multitud de cosas, podemos usarlo para probar la seguridad de nuestra red y la de aplicaciones; podemos interceptar contraseñas enviadas en texto plano y nombres de usuario. Y en este tutorial se quedará en eso. También podemos usar filtros y plugins como colectores de contrseñas en muchos protocolos, como telnet o ftp, y más cosas, pero no quiero alargar mucho el post así que me limitaré a explicar tan solo los ataques MitM.

Un ataque Mitm consiste básicamente en poner tu ordenador en el medio de una conexión interceptando todos los paquetes. Como sabemos, los paquetes de una red interna, por ejemplo un router que da acceso a internet a varios ordenadores, van en doble sentido, hay paquetes pasando desde el router al ordenador y viceversa.

Como vimos en el otro artículo, el ARP Posoning nos permite hacernos con los paquetes de cualquiera de los sentidos, o de ambos. En este tutorial veremos como interceptar la comunicación entre un ordenador y el router.

Las IPs de las máquinas en este tutorial son:

  • 192.168.1.35: máquina atacante con Ubuntu.
  • 192.168.1.36: máquina víctima con Windows 7 Home Premium
  • 192.168.1.1: router

Lo primero abrimos una terminal y ejecutamos ettercap con permisos de superusuario y en modo gráfico:

sudo ettercap -C

Nos vamos al menú sniff (para moverte por los menús puedes usar las flechas de dirección y la tecla Enter) y pulsamos sobre Unified Sniffing

Ahora nos pedirá la interfaz sobre la que trabajar. Como expliqué en el artículo mencionado arriba, a cada hardware de red le corresponde una interfaz. Yo estoy en una red WiFi y en mi ordenador tengo una terjeta WiFi y una Ethernet, con interfaces wlan0 y eth0 respectivamente, así que usaré wlan0. Para mirar las interfaces de tu hardware escribe le comando ifconfig en un terminal. Escribimos la interfaz y pulsamos Enter:

Ahora escanearemos la red en busca de “Hosts” o máquinas. Para ello pulsamos sobre Hosts->Scan for Hosts o directamente con Ctrl+S:

Veremos una barra de progreso y podremos ver que está escaneando la red:

Una vez terminado podremos leer abajo los ordenadores encontrados, para ver los Hosts pulsamos sobre Hosts->Hosts list o directamente la tecla “h” Podremos ver las relaciones entre dirección IP-MAC:

Ahora lo que haremos será indicarle que haga un ataque ARP Poisoning en ambos sentidos entre las direcciones IP 192.168.1.1 y 192.168.1.36. Para ello podemos ir al menú Targets->Select Target(s), pero yo lo hago de una forma mucho más rápida. En la pantalla Hosts list, si pulsamos el número 1 sobre una dirección, esta pasará a la lista de Target 1, y si pulsamos el 2, irá a Target 2, así que ponemos el cursor sobre 192.168.1.1 (en mi caso), y pulsamos la tecla 1, luego lo ponemos sobre la otra máquina y pulsamos la tecla 2 y luego la 1, y para acabar vamos otra vez a la primera y pulsamos la 2. Si ahora vamos al menú Targets->Current Targets (t), podremos ver la tabla con ambos sentidos para el ARP Poisoning

Ahora vamos a realizar el ARP Poisoning, para ello vamos al menú MitM y pulsamos sobre ARP Poisoning. Nos aparecerá una barra llamada parameters, aquí escribimos la palabra remote y pulsamos Enter. Veremos en la parte inferior que se hace el ataque en ambas direcciones

Ahora ya solo hay que empezar a esnifar, vamos al menú Start->Start Sniffing, y veremos que dice Starting Unified Sniffing…

Para ver todas las conexiones en crudo vamos a View->Connections (C), y podremos ver una tabla con las conexiones entrantes y salientes.

Podemos ver el contenido de los paquetes navegando entre ellos con las flechas de dirección y pulsando la tecla Enter.

Por ejemplo, en los paquetes dirigidos al puerto 53 (DNS), podremos ver qué páginas está visitando el atacante.

Podemos también combinar esto con el uso de otros programas, como por ejemplo ponerle un dnsspoof y un proxy con un certificado falso en nuestro ordenador para robar información que vaya encriptada por SSL.

¿Cómo evitar esto?

Evitar este tipo de ataques es muy sencillo, para comprobar que no nos lo están haciendo en un terminal podemos escribir:

arp -a

Así podemos ver el contenido de la tabla arp, si vemos que alguna máquina tiene la misma MAC que el router, es que esa máquina nos está enviando mensajes ARP Reply falsos.

¿Esto cómo se evita? Poniendo entradas estáticas en la tabla arp para cada máquina, la dirección MAC es una dirección física dad por el fabricante y no “debería” cambiar, así este método no tiene por que dar ningún problema. Estas entradas no se pueden modificar con mensajes ARP, aunque en Windows si se pueden pisar, en Linux no y aquí estamos a salvo. Lo malo es que algunos routers al reiniciarse le van dando direcciones IP en orden a las máquinas según se vayan conectando a él en vez de darle las mismas de antes, y habría que rehacer la tabla ARP.

Para crear una entrada estática en Windows hacemos lo siguiente:

arp -s direcciónIP direcciónMAC

En Linux es un poco más largo, así que os dejo un link que lo explica muy bien: http://systemadmin.es/2010/06/anadir-una-entrada-arp-estatica

Hasta aquí este tutorial, espero que os sea útil.

Anuncios
Esta entrada fue publicada en Manuales, Tutoriales y etiquetada , , , , , , , , . Guarda el enlace permanente.

4 respuestas a Ataque MitM usando ettercap

  1. sh1d0w dijo:

    buen aporte =D me alegra que mi manual sirva de ‘inspiracion’ a este tipo de fantasticos tutoriales

  2. Pingback: Capturando el tráfico de una red, para Newbies y curiosos. « El chalé de Gaius Baltar

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s