Ataques de Hombre en el Medio: Conceptos y Ejecución Práctica

Resumen

¿Qué es el protocolo ARP y su vulnerabilidad?

El protocolo ARP (Address Resolution Protocol) es fundamental en la comunicación en redes, ya que traduce direcciones IP lógicas en direcciones físicas, como una dirección MAC. Sin embargo, tiene una vulnerabilidad crítica: la falta de autenticación. Esto permite a los atacantes realizar ataques de suplantación de identidad mediante peticiones ARP spoofing para engañar a los dispositivos y redirigir el tráfico a través de ellos.

¿Cómo se lleva a cabo un ataque de hombre en el medio?

Un ataque de hombre en el medio (MITM) explota la vulnerabilidad del protocolo ARP para interceptar y potencialmente modificar la comunicación entre dos partes sin que estas lo detecten. Este ataque se realiza en varios pasos:

Identificación de las víctimas: Se identifican las direcciones IP de los dispositivos objetivo. En este caso, se tiene la dirección de la víctima y la puerta de enlace.
Configuración del ataque con Kali Linux: Con la herramienta en Kali, se describe cómo manipular la tabla ARP de los dispositivos para hacerse pasar por la puerta de enlace.
Ejecutar ARP Spoofing: Se inyectan respuestas ARP falsas en la red para actualizar las tablas ARP de los dispositivos objetivo, haciéndoles creer que el atacante es la puerta de enlace.

¿Cómo analizar el tráfico interceptado?

Una vez que el ataque MITM está en marcha, es posible capturar y analizar el tráfico de red con herramientas específicas:

Wireshark: Es una herramienta potente que permite analizar paquetes de datos que circulan por la red. Se puede filtrar por protocolo ARP para observar los paquetes de red asociados.
Inspección del tráfico HTTP: Al enfocarse en tráfico HTTP, un atacante podría visualizar en texto plano la información que intercambia la víctima, si el sitio web no utiliza HTTPS.

¿Cómo remediar los problemas causados por el ataque?

Después de establecer el ataque, es crucial reenviar correctamente el tráfico a su destino original para evitar la interrupción del servicio. Esto se logra ajustando configuraciones en el sistema para permitir el envío correcto de los paquetes interceptados.

¿Cómo utilizar herramientas de filtrado para extraer información?

Usando filtros en Wireshark, como http, se puede centrarse exclusivamente en el tráfico HTTP, lo cual es particularmente útil cuando se tratan de capturar datos no cifrados de sesiones web de la víctima.

Prácticas recomendadas para proteger redes

Para defenderse de ataques MITM, sigue estos consejos:

Utiliza HTTPS: Implementar HTTPS en todos los sitios web asegura que los datos transmitidos estén cifrados.
Habilita la protección ARP para evitar el spoofing: Algunos routers y dispositivos tienen configuraciones para bloquear ARP Spoofing.
monitoreo constante de la red: El uso de herramientas de monitoreo puede detectar actividad anómala que señale un posible ataque.
Educación y capacitación: Capacitar al personal técnico para identificar rápidamente este tipo de incidencias puede minimizar su impacto.

La seguridad en redes es un campo en constante evolución, y entender tanto las herramientas de ataque como de defensa es vital. Continuar aprendiendo sobre nuevas tecnologías y métodos de protección es esencial para mantener la integridad y seguridad de los sistemas de información.

Nicolás Díaz

student•

A esta altura esperaba una captura de trafico minimo en https, en windows 10, y google chrome...

Alan Joaquín Baeza Meza

teacher•

Lo importante es conocer su funcionamiento, con el objetivo de resolver el reto #9 del SANS Holiday Hack Challenge, en el cual deben analizar un paquete pcap de una red afectada por un Ransomware y tratar de crear una regla en SNORT para detectar otra posible infección.

info ft

student•

NO lo importante no es conocer el funcionamiento porque eso solo se queda en la teoria, lo importante es llevarlo a la practica con maquinas actuales si no, no tiene sentido. Para eso pagamos para que nos enseñen con contenido actualizado y en escenarios reales, sino para esa gracia miramos videos gratis en youtube.

Tomas David Navarro Munera

student•

deben de actualizar el curso, ya la herramienta arpspoof no se encuentra en los repositorias de kali. Solo es un ejemplo de muchos, ya que las herramientas del profesor no son soportadas y dejan de funcionar correctamente.

Matías Edgardo Oroño

student•

Eso es cierto, hay cosas que ya no existen...

Daniel Enrique Caballero Llinás

student•

De acuerdo, no soy un experto en el tema, solo trato de aprender, pero no comprendo para qué explican con Windows XP si eso ya no lo utiliza nadie. Entiendo que la idea es comprender el funcionamiento y la metodología para la identificación de vulnerabilidades y explotarlas, pero al final este será un curso que no lo podrás aplicar en un entorno real contemporáneo. Encontrar vulnerabilidades en Windows XP, Vindows 7 y Metaexploitable está gratis en Youtube. Si se invierte en Platzi es para aprender cosas mas avanzadas. Les sugiero hagan prácticas con Windows 10 y protocolos https. Bueno esta es mi humilde opinión con el ánimo de mejorar.

Ariel Jacob

student•

Toda la razón

José Luis Quiróz Casas

student•

tenia pensado comprar el plan expert pero con esto cambie de opinion .

Xavier Patricio Manzano Herdoiza

student•

Deberían actualizar este curso lo estamos pagando esta información ya esta obsoleta y en otros sistemas también como Android Apple

Brandon Nicolas Morales

student•

jummm yo viendolo hasta ahora.... jejeje

Francisco Murillo

student•

y yo hasta ahora😂😂

Nelson Sebastian Galeano Aranda

student•

Me siento un poco estafado jeje, no tomen mal amigos de Platzi, este curso es inferior a los cursos anteriores...

Sergio Andres Cadavid Echeverry

student•

Totalmente de acuerdo un curso de Hacking y con técnicas de Windows XP, el curso debe estar basado a las tecnologías que hoy se encuentran operando.

Wilson Alvaro Leonardo Tahuico

student•

Comparto tu opinión.

David Leonardo Rodriguez Jimenez

student•

Es verdad

Rolando Medina Rivas

student•

deberían poner algo mas actualizado ya que con el paso del tiempo las tecnologías van cambiando y lo viejo va quedando atras como por ejemplo esto lo deberían de hacer con un sistema operativo mas avanzado que se yo un windows 8 u windows 10

Teo Quezada

student•

Compañeros creo que pierden la objetividad del curso. Yo considero que tanto la explicación y el contenido estan a buen nivel.

La tecnica es aplicable independiente del sistema operativo, el crear un conflicto por la versión del sistema operativo, me da a entender que ni siquiera estan entendiendo lo que se mostro en la clase. Ahora el porque HTTP, considero que es bueno porque eso nos ayuda a entender una herramienta tan poderosa como WireShark, debemos dominar como se refleja cada mensaje, aprender a identificarlo y aprender a interpretarlo. Ahora si a nivel global el protocolo HTTPS en estos años a superado apenas el 50% de usabilidad, debemos tomar en cuenta que muchas organizaciones tienen montados sistemas internos con protocolos HTTP, y si consideramos que el mayor porcentaje de ataques vienen desde el interior de una compañia, eso nos resume a una sola cosa.

Tomar lo importante de cada clase y continuar con nuestra formacion.

Juan Guillermo Perez Cardozo

student•

no usan xp en ningun momento en este video. tambien como hacker uno debe aprender a ser autosuficiente no siempre vas a tener a alguien para preguntarle como acceder a cierto sistema

Roman Barrios

student•

En cierta forma tienes razón pero para algo estás pagando un curso, para que te enseñen

Juan Fernando Ramirez Velez

student•

La Maquina Metasplotable 3 tiene Windows XP. En este video y el anterior se usa este sistema operativo. Además si quisiéramos ser totalmente auto suficientes no estaríamos en este curso o en cualquier otro.

Jefferson Hernández Correa

student•

Este ejemplo en especifico es totalmente valido para windows 10 u otros SO hay que aclarar que el hacking se basa en lo que yo llamo "escenarios ideales" yo puedo replicar este mismo ataque en 2021 y funcionará, pero si el trafico que se captura esta cifrado (como es el caso de https) pues no hay mucho que hacer, por otro lado, si el "escenario es ideal" y la victima usa por ejemplo su CMS con el protocolo http o bien hay alguna herramienta web administrativa que use este mismo protocolo pues veremos en el wireshark los password en texto plano :)

Jersson Alejandro Machicado Gomez

student•

Actualicen el curso!!!!!!

JHONATAN ISAIS PEREZ ARDILA

student•

Muy bueno pero la profundización debe mejorar.

Carlos Apolo Porcayo

student•

me interesa hacer este ataque desde Https no http! estos videos los encuentras en youtube.

Valentino Massaro

student•

▼Si al instalar Arpspoof les da este error: ✘ E: Unable to locate package arpspoof ▼La solución es instalar dsniff: ✔ sudo apt install dsniff (y te incluye arpspoof)

Helios Barrera Hernández

student•

Si no encuentran una herramienta en kali búsquenla en los repositorios con el gestor de paquetes apt Con el comando : sudo apt search NombreDelPaquete ejemplo para arpspoof: sudo apt search arpspoof Les va a mostrar los paquetes relacionados a ese que buscan, y en este caso a dia de hoy 21/07/2020 el paquete que contirene arpspoof se llama dsniff

Christian Gutman

student•

Yo tambien esperaba uso de herramientas actuales, PERO.

Un buen analista, no se basa solo en herramientas, se basa en comprender el alcance, los como, y los porque.

Si yo tomo todo lo que hizo, y me olvido de las herramientas , funciona hasta en windows 11 y debian 11 8=)

Conceptualmente, la explicacion esta, si buscabas que te enseñen una herramienta contemporanea, podrias tipear arp suplantation por ejemplo y ver cual existe.

German Sanchez G.

student•

Les recomiendo este post, para hacer esa captura de trafico en HTTPS.

https://www.elladodelmal.com/2017/02/mitmf-ataques-modernos-en-redes-de.html

Alex De La Cruz

student•

Y con Android y Apple.......??? También debería haber con sistemas operativos móviles.

Elizabeth Valerio Sanchez

student•

Sebastian Marin

student•

Muy interesante....