MITM (Man in the Middle Attack) mediante ARP Poisoning





Herramientas 

- El sistemas operativo puede ser cualquier distribución Linux (Ubuntu, Debian , etc...) pero el requisito es que tenga la aplicación ettercap instalada.

Escenario

Yo tengo un maquina corriendo Ubuntu 10.10 la cual tiene la dirección IP 192.168.1.99 y deseo que todo el trafico entre una maquina con IP 192.168.1.98 (Windows 7) y un  router/puerta de enlace con IP 192.168.1.1 sea interceptado y redirigido


Imagen 1 - Comunicación Normal

Imagen 2 . Comunicación interceptada


Ettercap es una aplicación que permite realizar Ataques de hombre en el medio (MITM) mediante varias tecnicas (ARP Poisoning, DHCP )

Comandos :

ettercap -T -M arp:remote /192.168.1.98/ /192.168.1.1/


Estamos diciendo a ettercap que muestre los resultados en la consola, que realice un ataque de hombre en el medio (MITM) haciendo uso del envenenamiento ARP (ARP Poisoning) y luego establecemos las 2 direcciones IP de las que queremos interceptar el trafico. 



Bien ahora nos encontramos en el escenario de la "Imagen 2" y viene en mente la pregunta 

¿Y ahora como sigo o que gano con esto?

Pues sigamos : 

Abrimos wireshark : wireshark &





Ahora supongamos que la PC2 (Victima) esta a punto de inciar sesion (loguearse) en un sitio web (Wikipedia, Gmail, Facebook, Hotmail, etc..). Como en el momento cuando la victima se loguea justo estamos capturando los paquetes (desde la PC3 mediante el Wireshark) podremos obtener el usuario y la contraseña de su cuenta (en este caso elegí wikipedia)






Como podemos ver el usuario es datv y la contraseña hackingsintabus

¿Y esto tambien es valido para Facebook?

Estoy seguro que uno ya penso o ha de estar pensando en esta opcion. La respuesta es no.
Facebook usa el protocolo https por lo tanto la contraseña al enviarse (recordar que como hemos hecho el ataque pasara primero por nuestra pc y ella la reenvia al router y este hace su tarea de enviarla al servidor de facebook) esta encriptada.

En este caso hay otro metodo de obtener una sesion facebook (ojo no contraseña solo sesion) es decir entrar en su cuenta pero sin su contraseña (usando las cookies que se mandan por internet y no son encriptadas). Este ataque suele denominarse "Session Hijacking" y sera estudiado en otro post.


Como podemos ver y en resumen mediante un ataque de este tipo somos capaces de ver todo el trafico entre las maquinas que deseemos y luego usar el wireshark para ver los paquetes. 


Observaciones:

  • En sitio https (facebook, hotmail, etc..) el campo contraseña se muestra encriptado (caracteres raros)
  • Wikipedia usa http tanto para navegar como para el inicio de sesion
  • Ettercap es una aplicacion y unos de sus usos es para ataques de hombre en el medio.
  • Use Ubuntu, pero como mencione pueden usar la distribucion que deseen pero que tenga instalada la aplicacon ettercap.



Powered by Blogger.