Ataque de Hombre en el Medio usando Protocolo DHCP

Clase 13 de 33 • Curso de Pentesting a Redes

Resumen

¿Qué es un servidor DHCP y cómo funciona?

Un servidor DHCP es el encargado de asignar automáticamente direcciones IP a los dispositivos que se conectan a una red local. Esto es común, por ejemplo, cuando te conectas a una red inalámbrica en un café, o cuando llegas a la oficina y conectas tu computadora. El servidor DHCP concede una dirección IP a los dispositivos, facilitando la conexión sin necesidad de configuración manual.

¿Cuáles son las vulnerabilidades del protocolo DHCP?

El protocolo DHCP, en su forma más básica, no utiliza cifrado ni autenticación. Esta característica, aunque práctica para la configuración inicial, representa una vulnerabilidad que puede ser explotada para realizar ataques de “hombre en el medio”. Un atacante podría manipular los valores de la puerta de enlace predeterminada para monitorear el tráfico que sale de los dispositivos conectados.

¿Cómo se realiza un ataque de hombre en el medio a través de DHCP?

El ataque consiste en aprovechar una solicitud de DHCP Discover que envía un dispositivo al conectarse por primera vez a la red. El objetivo es que un servidor DHCP no legítimo, que es muy rápido en responder, pueda ofrecer una dirección IP con configuraciones alteradas (como las de la puerta de enlace predeterminada) antes que el servidor legítimo, ganando así esa “carrera” para entregar la configuración.

¿Cómo realizar un ataque de spoofing DHCP?

¿Qué herramientas se necesitan?

Etercap: Utilizado en la modalidad DHCP Spoofing para enviar configuraciones alteradas.
Wireshark: Herramienta para capturar y analizar tráfico de red.

¿Cuál es el proceso paso a paso?

Configuración del servidor DHCP falso: Con Etercap, se define un rango de direcciones IP para el nuevo servidor DHCP. Ejemplo:
```
sudo ettercap -T -q -i <interface> -P dhcpspoof --ip <ip-rango>
```
Captura y análisis de tráfico: Utilizar herramientas como Wireshark para monitorear y capturar el tráfico que se enrutará a través de la máquina atacante.
Liberación de direcciones IP en los dispositivos víctima: Usar comandos como dhclient -r en las máquinas objetivo para forzar un nuevo proceso de DHCP Discover, permitiendo que el servidor falso pueda intervenir.
Recepción de la oferta DHCP fraudulenta: Si se ejecuta correctamente, la máquina víctima aceptará la configuración del servidor DHCP falso, y el tráfico comenzará a pasar a través del atacante.

¿Qué resultados se pueden lograr?

Al ejecutar exitosamente el ataque, es posible monitorear y capturar datos sensibles, como credenciales de inicio de sesión, detalles de formularios web, y más. Estos datos pueden ser muy útiles para pruebas de penetración y análisis de seguridad.

Recomendaciones finales para la seguridad de redes

Implementar DHCP snooping: Esta característica en los switches ayuda a filtrar respuestas DHCP no autorizadas.
Usar autenticación y cifrado: Implementar tecnologías de autenticación y cifrado para proteger el tráfico de red.
Monitorear la red regularmente: Utilizar herramientas como Wireshark para detectar actividades sospechosas en la red.
Capacitar al personal de TI: Asegúrate de que tu equipo esté formado en ciberseguridad y consciente de las últimas técnicas de ataque.

Es fundamental mantenerse informado y proactivo en la protección de infraestructuras de red. Siempre existen nuevas técnicas y herramientas, por lo que la formación continua y el intercambio de experiencias son esenciales.

Alonso de Jesús Cuyatti Sánchez

student•

Para evitar este tipo de ataques lo recomendable es configurar DHCP snooping, el cual, solo permite solicitudes aprobadas desde servidores DHCP validados.

Mas información en este enlace: https://www.ionos.es/digitalguide/servidores/seguridad/dhcp-snooping/

Manuel Rodríguez

student•

un escudo, gracias!

Oscar Jaramillo

student•

Oscar Jaramillo

student•

La suplantación de DHCP es un tipo de ataque en el que el usuario malintencionado escucha las solicitudes de DHCP de los clientes y las responde con una respuesta DHCP falsa antes de que la respuesta DHCP autorizada llegue a los clientes.

Diego Fernando Ramos Aguirre

student•

Gracias por el aporte.

Tobias Sanjuan

student•

No puedo practicar. Al principio simplemente no funcionaba pero ya luego trataba de abrir ettercap y se cierra solo.

David Orlando Toloza Gómez

student•

Me pasa algo similar. En mi caso probé re instalando Kali y llegaba a este punto dhcp spoofing y se me presentaba el mismo error siempre, hasta que me di cuenta que es por la configuración de los archivos de ettercap, ettercap.dns y ettercap.conf de la clase anterior. Tuve que editar las líneas y comentarlas de nuevo. Intente ingresar y funciono correctamente.

Eduardo Recinos

student•

No sé sí aún te sirva pero básicamente en el archivo etter.conf la sección IPV6 también debe estar sin comentarios, al arreglar eso todo te andara como la seda, para que puedas ver los errores de manera más fácil. Puedes arracar con:

<sudo ettercap -C
o también con 
sudo ettercap -Tqslq>

Juan José Mamani Tarqui

student•

La asignacion tanto de las tablas ARp como las de las DHCP son automaticas por esa razon no son cifradas.

Wilson Gustavo Chango Sailema

student•

Javier Ramos

student•

Ettercap si desean la ultima version disponible de esta herramienta "https://www.ettercap-project.org/downloads.html" 

ALVARO RODRIGUEZ TAMEZ

student•

Excelente clase.

Louis Joseph Sandoval Rojas

student•

En que red debe estar Lubuntu

David Zhou Yang

student•

En la Internal-10, espero que la respuesta no llegue tarde

Julián Mejia

student•

Excelente