Ataques de Hombre en el Medio: Interceptación con ARP y Ettercap

Clase 11 de 33 • Curso de Pentesting a Redes

Resumen

¿Cómo aprovechar las vulnerabilidades de sus redes?

¡Bienvenido al mundo de la ciberseguridad! Desde esta lección, comenzaremos con un desafío emocionante: atacar y explotar vulnerabilidades que existen en protocolos de red. En particular, enfocaremos nuestro esfuerzo en el protocolo Address Resolution Protocol (ARP). Este protocolo juega un papel clave en traducir direcciones IP a direcciones MAC en redes internas. Pero, ¿qué tan seguro es realmente?

¿Qué es el protocolo ARP y cómo funciona?

ARP es un protocolo de red a nivel de enlace utilizado para convertir direcciones IP a direcciones físicas (MAC). Los dispositivos de red como routers y switches usan direcciones MAC para enrutar tráfico dentro de una red local.

Funcionamiento básico: Al buscar una dirección IP, ARP envía una solicitud para encontrar la dirección MAC correspondiente, entregando así el tráfico en la red local.
Solicitud ARP Broadcast: Se difunde un mensaje buscando quién tiene la dirección IP deseada. El dispositivo con esa IP responde con su dirección MAC.

¿Cómo se realiza un ataque "Man in the Middle" usando ARP?

El ataque "man in the middle" (MitM) aprovecha la falta de cifrado en el protocolo ARP para interceptar y alterar las comunicaciones de red. Aquí, actuamos como intermediarios entre el cliente y el servidor.

Concepto básico: Alteración de las tablas ARP de las víctimas para redirigir el tráfico a nuestra máquina y monitorear las comunicaciones entre los dispositivos de la red.
Herramienta a utilizar: Éther CAPO en Kali Linux para inyectar paquetes ARP falsos en la red.

¿Cómo ejecutamos un ataque con Éther CAPO?

Utilizando Kali Linux y Éther CAPO, podemos preparar un ataque ARP para interceptar tráfico:

sudo ethercap -G

Mecanismo del ataque: El atacante envía respuestas ARP falsas a la víctima y al gateway. Esto logra que las comunicaciones pasen a través de la máquina atacante.
Configuración de la herramienta: Seleccionamos nuestra máquina y la de la víctima como objetivos en el orden apropiado para redirigir el tráfico.

¿Qué observar después de lanzar el ataque?

Con el ataque en funcionamiento, monitorear el tráfico se convierte en una tarea sencilla y reveladora:

Intercepción de tráfico HTTP: Podremos capturar y analizar todas las solicitudes y respuestas entre el cliente y los servidores a los que intenta acceder.
Uso de WireShark: Herramienta que captura paquetes para examinar el tráfico comprometido durante un MitM.

¿Cómo continuar protegiendo tus cognocimientos y redes?

El aprendizaje continuo es fundamental en ciberseguridad. En futuras lecciones, exploraremos cómo automatizar ataques con Ettercap y más complejidades con herramientas como Scapy. Asegúrate de seguir aprendiendo y probando, ya que la seguridad de redes es un campo dinámico y esencial en la era digital. ¡Mantén la curiosidad encendida y sigue adelante en tu camino hacia el dominio de la seguridad cibernética!

Jose Luis Quintero Sanchez

student•

Para prevenir este Ataque, existen configuraciones en Switches Industriales, en marcas como Cisco. Los comandos tienen por nombre DAI (Dynamic ARP Inspection): Este comando permite monitorear las respuestas ARP de los puertos no confiables y comparalos con la tabla del DHCP Snooping. Esto previene ataques basados en ARP. Este Feature tiene que activarse en conjunto con: DHCP Snooping y IP Source Guard. (Tomando como referencia documentos de estudio de CCNP SWITCH) es posible que otras marca tengan otro nombre pero al final el mecanismo de protección es el mismo. Espero sirva de ayuda. Saludos.

Diego Fernando Ramos Aguirre

student•

Gracias por el aporte.

Oscar Jaramillo

student•

Oscar Jaramillo

student•

ARP Poisoning: La suplantación de ARP es enviar mensajes ARP falsos a la Ethernet. Normalmente la finalidad es asociar la dirección MAC del atacante con la dirección IP de otro nodo, como por ejemplo la puerta de enlace predeterminada.

Diego Fernando Ramos Aguirre

student•

Gracias por el resumen.

Ruben Ariel Villalobos

student•

Que importante es poder contar con una mitigación a este ataque. Las redes LAN como en este caso, pueden sufrir de esto y es algo increibleeeeee.

Oscar Jaramillo

student•

ARP: El protocolo de resolución de direcciones es un protocolo de comunicaciones de la capa de enlace de datos, responsable de encontrar la dirección de hardware que corresponde a una determinada dirección IP.

Diego Fernando Ramos Aguirre

student•

Gracias por el resumen.

David Orlando Toloza Gómez

student•

Es necesario editar el archivo /etc/resolv.conf y agregar nameserver 1.1.1.1 namerserver 8.8.8.8 Para tener navegación en las maquinas de kali y lubuntu.

Diego Fernando Ramos Aguirre

student•

Gracias eso me ayudo.

Nicolás Oscar Llorente

student•

Cuál sería el mecanismo para evitar este ataque?

Jose Luis Quintero Sanchez

student•

Oscar Correas Del Gesso

student•

Algunos aplicaciones a nivel de los host (fabricantes de antimalware para windows) ya también detectan este tipo de ataques y generan alertas

Alex De la Cruz

student•

y como bajo esa maquina de lubuntu?

luis

student•

Puedes descargarla desde aquí https://lubuntu.me/downloads/ O entras en ubuntu.com y en la categoria de 'sabores de Ubuntu' lo encontraras. Un saludo!

Alex De la Cruz

student•

Listo. Ya lo monte y puedo seguir con esto. Agradezco tu apoyo Luis. Saludos!

Edwin Absalón Martinez Moreno

student•

Deje de tomar apuntes y comence a cuestionar, me a ayudado a interiorizar mejor que solo tomar notas.

Aporten dudas please.

¿Qué es el protocolo ARP? ¿Cómo se puede prevenir el ARP Poisoning? ¿Qué es un ataque man in the middle? ¿En qué protocolos se puede realizar un ataque man in the middle? ¿Cuándo utilizo cada tipo de sniffing?

Jefferson Pacheco Suárez

student•

ARP Spoofing

Mediante esta técnica podemos alterar el protocolo ARP para engañar tanto al router como al equipo víctima y situarnos en medio del tráfico para así poder conocerlo. Para ello es importante ya estar dentro de la red que se desea atacar.

Una vez dentro, usamos Wireshark para ver todo el tráfico de red y Ethercap para hacer un ataque de ARP Spoofing. Para ello debemos seguir los siguientes pasos:

Escanear la red con Ethercap para buscar la ip de los dispositivos conectados.
Seleccionar como target 1 el dispositivo que se desea analizar, y como target 2 el router.
Finalmente vamos a la sección de MIMT (Man-in-the-Middle Attack) que tiene el logo del planetica y seleccionamos la primera opción: ARP Poisoning.
Ahora, solo queda ir a validar los paquetes enviados a través de Wireshark. Recuerda validar por medio de ifconfig que la interfaz de red usada sea la correcta.

Diego Fernando Ramos Aguirre

student•

Gracias por el resumen.

David Zhou Yang

student•

El envenenamiento por ARP consiste en interceptar tráfico entre 2 máquinas realizando lo que se conoce como un “Man In The Middle”. Con esto no tan solo consigue interceptar las comunicaciones, si no que además podría modificar la información intercambiada entre las 2 máquinas

Los ARP Gratuitos son respuestas ARP que no han sido solicitadas. Sirve para modificar la tabla ARP de la víctima y que envíe los paquetes al atacante

Ejemplo:

El atacante le dice a la máquina “A” que él es la máquina “B” El atacante le dice a la máquina “B” que él es la máquina “A”

A partir de ahora, todos lo paquetes dirigidos a entre ambas máquinas serán enviados al atacante, que este redirigirá los paquetes a la máquina verdadera para no levantar sospechas. Consiguiendo acceso al tráfico enviado entre las 2 máquinas

El atacante envía un ARP gratuito cada +-30 segundos para que no expire

No siempre nos es posible tener una interfaz gráfica, una herramienta de línea de comandos muy sencilla para realizar este ataque es arpspoof

Uso: arpspoof -i <interface> -t <target> -r <host>

Target y Host son las direcciones IP de las victimas

Primero debemos activar enrutamiento de paquetes para poder reenviar los datos que recibimos

echo 1 > /proc/sys/net/ipv4/ip_forward

arpspoof -i eth0 -t 192.168.10.102 -r  192.168.10.254

A partir de ahora todas las comunicaciones que vayan de lubuntu (192.168.10.102) al router 1 (192.168.10.254) serán interceptadas por el atacante

Podemos ejecutar wireshark y capturar el tráfico para su análisis posterior

Por último, cuando finalizamos el ataque pulsamos Ctrl + C para enviar ARP con las MAC reales para no cortar el servicio a la máquina víctima

Javier Ramos

student•

Excelente explicación

Jose Luis Quintero Sanchez

student•

Para mayor información de DAI (Dynamic ARP Inspection): https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst6500/ios/12-2SY/configuration/guide/sy_swcg/dynamic_arp_inspection.html

Valentin Francisco Blanco

student•

En mi caso tuve que activar el reenvío de paquetes (ip forwading) por parte de mi maquina hacia la maquina victima para que funcionara el ataque MIT (Man in the Middle). Esto lo hice con:

echo 1 > /proc/sys/net/ipv4/ip_forward

Julián Mejia

student•

ARP es un protocolo que permite traducir direcciones IP a direcciones MAC.

CORILLA CANCHARI JOSE LUIS

student•

tengo problemas con el ettercap, ya que no me lista ninguna de las direcciones IP. hice la prueba y si hago ping de internet y del switch! alguna pista para solucionar?

Miguel Salgado

student•

¿Escaneaste las direcciones IP? ¿Tienes LUbuntu o TinyCore instalado?

Julio Cesar Olarte Bernal

student•

De donde obtuvieron Lububtu

Giancarlo De Bello

student•

Hola, en mi caso lo descargue de la web oficial Lubuntu y procedi a montar el VirtualBox, el proceso no es complicado, en el Curso de Introduccion al pentesting del mismo profesor se realizan estos procesos. (Recomiendo asignar 1GB de RAM)

Saludos!

Tyler Valencia

student•

En cuál clase instalo Lubuntu?

Héctor Eduardo López Carballo

student•

¡Hola!

En el Curso de Prework: Configuración de Entorno de Desarrollo en Linux te muestran cómo instalar Ubuntu, pero los pasos son muy similares para instalar las distros más populares, puedes tomarlo de referencia para instalar Lubuntu.

David Orlando Toloza Gómez

student•

¿ Qué herramientas me recomendarían en este ataque ?

José Cárdenas

student•

Esta usando el Ethercap, lo menciona en la clase.

Saúl Diaz

student•

No sé qué hacer aquí, ya que en el curso se ve que la aplicacion grafica de Ettercap tiene muchas funcionas en dicha interfaz grafica, pero el problema que tengo es que no me sale nada parecido a las opciones que sale en el curso (Ettercap version del 2019) No me sale nada parecido, no se como seguir con el curso desde el min: 5:32 si no hay nada que se parezca que hace el profesor. No sé qué hacer :(

Saúl Diaz

student•

Parece que encontré solución con la siguiente: Dar clic en la parte de los 3 puntos verticales y desmarcar las opciones que salen allí, esa fue la forma en la que después dando clic en el símbolo de visto pude escanear las direcciones de los Hosts como sale en el curso

Carlomag Mejia Alarcon

student•

ehhh intentado por todas las formas pero lo que creo es q todas las páginas o al menos la mayoría ya tienen un cifrado hhtps por lo q la herramienta no funciona debido a q solo pueden ser páginas http por el otro lado desde el 2022 Chrome y firefox bloquea el acceso a todas las páginas sin certificados por lo q en este momento o al menos con los conocimientos que tenemos hasta ahora ya no es válido poder hacer un ataque de hombre en el medio al menos para nosotros los skipt kiddie alguien q me confirme