Envenenamiento por ARP

Sexta lección: Sniffing


El protocolo de resolución de direcciones (ARP) es un protocolo sin estado que se utiliza para resolver direcciones IP a direcciones MAC de la máquina. Todos los dispositivos de red que necesitan comunicarse en la red emiten consultas ARP en el sistema para averiguar las direcciones MAC de otras máquinas. El envenenamiento por ARP también se conoce como Spoofing ARP.

Así es como funciona el ARP:

  • Cuando una máquina necesita comunicarse con otra, busca su tabla ARP.
  • Si la dirección MAC no se encuentra en la tabla, la solicitud de petición de ARP se transmite a través de la red.
  • Todas las máquinas de la red compararán esta dirección IP con la dirección MAC.
  • Si una de las máquinas en la red identifica esta dirección, entonces responderá a la solicitud de petición de ARP con su dirección IP y MAC.
  • El ordenador solicitante guardará el par de direcciones en su tabla ARP y se realizará la comunicación.

¿Qué es el Spoofing ARP?

Los paquetes ARP pueden ser forjados para enviar datos a la máquina del atacante:

  • El spoofing ARP construye un gran número de peticiones ARP falsificadas y paquetes de respuesta para sobrecargar el switch.
  • El conmutador se configura en modo de reenvío y después de que la tabla ARP se inunde con respuestas falsas de ARP, los atacantes pueden olfatear todos los paquetes de red.

Los atacantes inundan el caché ARP de una computadora objetivo con entradas falsificadas, lo que también se conoce como envenenamiento. El envenenamiento ARP usa el acceso del Hombre en el Medio para envenenar la red.

¿Qué es Hombre en el Medio?

El ataque Hombre en el Medio implica un ataque activo donde el adversario se hace pasar por el usuario creando una conexión entre las víctimas y envía mensajes entre ellas. En este caso, las víctimas piensan que se están comunicando entre ellas, pero en realidad, el actor malicioso controla la comunicación.

Ejemplo grafico Hombre en el medio

Existe una tercera persona para controlar y vigilar el tráfico de comunicaciones entre dos partes. Algunos protocolos como SSL sirven para prevenir este tipo de ataque.

Envenenamiento con ARP – Ejercicio

En este ejercicio, hemos utilizado BetterCAP para realizar envenenamiento por ARP en entornos LAN utilizando una estación de trabajo VMware en la que hemos instalado las herramientas Kali Linux y Ettercap para rastrear el tráfico local en LAN.

Para este ejercicio, necesitaría las siguientes herramientas:

  • Estación de trabajo VMware
  • Sistema operativo Linux o Linux Kali Linux o Linux
  • Herramienta Ettercap
  • Conexión LAN

Nota: Este ataque es posible en redes cableadas e inalámbricas. Puede realizar este ataque en LAN local.

Paso 1: Instalar la estación de trabajo VMware e instalar el sistema operativo Kali Linux.

Paso 2: Inicie sesión en Kali Linux usando el nombre de usuario pass “root, toor”.

Paso 3: Asegúrese de que está conectado a una LAN local y compruebe la dirección IP escribiendo el comando ifconfig en el terminal.

ejercicio hombre en el medio

Paso 4: Abra el terminal y escriba “Ettercap -G” para iniciar la versión gráfica de Ettercap.

ettercap

Paso 5: Ahora haga clic en la pestaña “Sniff” en la barra de menús y seleccione ” unified sniffing ” y haga clic en Aceptar para seleccionar la interfaz. Vamos a usar “eth0” que significa conexión Ethernet.

inicio ettercap

Paso 6: Ahora haga clic en la pestaña “hosts” de la barra de menús y haga clic en “scan for hosts”. Empezará a escanear toda la red en busca de los hosts vivos.

Paso 7: Luego, haga clic en la pestaña “hosts” y seleccione “hosts list” para ver el número de hosts disponibles en la red. Esta lista también incluye la dirección de puerta de enlace predeterminada. Debemos tener cuidado al seleccionar los objetivos.

host ettercap

Paso 8: Ahora tenemos que elegir los objetivos. En MITM, nuestro objetivo es la máquina host, y la ruta será la dirección del enrutador para reenviar el tráfico. En un ataque MITM, el atacante intercepta la red y rastreara los paquetes. Agregaremos a la víctima como “objetivo 1” y la dirección del enrutador como “objetivo 2”.

En el entorno VMware, la puerta de enlace predeterminada siempre terminará con “2” porque “1” se asigna a la máquina física.

Paso 9: En este escenario, nuestro objetivo es “192.168.121.129” y el enrutador es “192.168.121.2”. Por lo tanto, añadiremos el objetivo 1 como IP víctima y el objetivo 2 como IP de router.

ip rastreada

Paso 10: Ahora haga clic en “MITM” y haga clic en ” ARP poisoning “. A continuación, marque la opción ” Sniff remote connections ” y haga clic en Aceptar.

Mitm

Paso 11: Haga clic en “start” y seleccione ” start sniffing “. Esto iniciará el envenenamiento ARP en la red, lo que significa que hemos habilitado nuestra tarjeta de red en “modo promiscuo” y ahora el tráfico local puede ser rastreado.

Nota: Hemos permitido sólo sniffing HTTP con Ettercap, así que no espere que los paquetes HTTPS sean rastreados con este proceso.

Paso 12: Ahora es el momento de ver los resultados; si nuestra víctima entró en algunos sitios web. Puede ver los resultados en la barra de herramientas de Ettercap.

Sniffing ip

Así es como funciona el sniffing. Usted debe haber comprendido lo fácil que es obtener las credenciales HTTP sólo habilitando el envenenamiento ARP.

El envenenamiento por ARP tiene el potencial de causar grandes pérdidas en los entornos empresariales. Este es el lugar donde se nombran los hackers éticos para asegurar las redes.

Al igual que el envenenamiento por ARP, hay otros ataques como la inundación de MAC, suplantación de MAC, envenenamiento por DNS, intoxicación por ICMP, etc. que puede causar pérdidas significativas a una red.

En la proxima lección, discutiremos otro tipo de ataque conocido como envenenamiento por DNS.

Octava Lección: Envenenamiento por DNS

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *