Ataque Arp-Spoofing usando backtrack 5

El ARP Spoofing, también conocido como ARP Poisoning o ARP Poison Routing, es una técnica usada para infiltrarse en una red  y de esta forma asociar la dirección MAC del atacante con la dirección IP de otro nodo (el nodo atacado). El atacante, puede entonces elegir, entre reenviar el tráfico a la puerta de enlace predeterminada real (ataque pasivo o escucha), o modificar los datos antes de reenviarlos (ataque activo) y de esta forma causar problemas al nodo atacado.

Objetivo

Uno de los principales objetivos de relizar este tipo de ataque es interponerse entre una o varias máquinas con el fin de interceptar, modificar o capturar paquetes.

 

 

¿Cómo Hacerlo?

  • En Back Track tenemos herramientas como Ettercap para llevar a cabo un MitM (Man in the Middle).

  • Lo que conseguiremos será que el equipo que se desea monitorizar envíe todas las tramas a través de nuestro PC.
  • El proceso se lleva a cabo contaminando la cache de los equipos involucrados con una asociación IP/MAC falsa

  • Cualquier tráfico dirigido a la IP de ese nodo, será erróneamente enviado al atacante, en lugar de a su destino real

Pasos para realizar  Ataque Arp – Spoofing

Se crearon tres maquinas virtuales utilizando VIRTUALBOX(es un software de virtualización para arquitecturas x86).

  • (Windows xp sp3)
  • (Windows xp sp3)
  •  Atacante (Bactrack 5)

Visualizándose de esta forma:

Ahora se procede a poner las tres máquinas en red; considerando que en la configuración de la tarjeta de red  cada máquina virtual debe estar en modo: Adaptador solo anfitrion

Se debe configurar la dirección  ip y mascara de cada máquina virtual, realizándose de la siguiente forma:

Para las maquinas virtuales de Windows Xp:

Windows xp Nº1 —–> Ip:192.168.1.11

                                       Mascara:255.255.255.0

Windows xp Nº2—–> Ip:192.168.1.12

                                        Mascara:2555.255.255.0

Para la maquina Virtual del Atacante (Bactrack ), se debe ir a la terminal y digitar lo siguiente

  • Eth0 Ifconfig  192.168.1.15 netmask  255.255.255.0

Se puede lo puede  apreciar de la siguiente imagen:

Comprobamos que las dos maquinas virtuales Windows Xp, esten en comunicacion usando el comando ping.

El siguiente paso es ejecutar Ettercap, pero en caso de que no esté instalado, se debe proceder a escribir los siguientes comandos en la terminal, para poder instalar las librerías necesarias para el funcionamiento de ettercap.

  • sudo apt-get install libnet0
  • sudo apt-get install libnet1
  • sudo apt-get install dev libssl-dev
  • sudo apt-get install libltdl3-dev
  • sudo apt-get install libpcre3-dev
  • sudo apt-get install libpcap0.8-dev

 
Podemos empezar a utilizar la herramienta Ettercap digitando desde la terminal lo siguiente

  • sudo apt-get install ettercap-gtk (para la versión gráfica)
  • sudo apt-get install ettercap (para la versión por consola).

Necesitamos editar un par de líneas del archivo de configuración de ettercap para que funcione de manera correcta.
Hay que activar el forwarding de paquetes y modificar el fichero de configuración de ettercap para que reenvíe paquetes SSL (importante para realizar ataques Arp Poisoning entre otros). Para eso vamos a la consola y ejecutamos el siguiente comando: 

* sudo gedit /etc/etter.conf


Y ahí editamos la siguiente línea (descomentandola)

originalmente la línea está así:

Debemos des comentarla (esto quiere decir quitar el # de la línea), quedando así:

Debemos guardar los cambios, si lo editamos con gedit solo guardamos los cambios con el boton guardar, si lo editamos con nano para guardar los cambios es de la siguiente manera ctrl+x–> le damos si –> presionamos enter, de esta forma ya esta instalado la Herramienta Ettercap y procedemos hacer uso de ella.

También podemos visualizar los siguientes pasos para poder usar la herramienta etercap

Podemos observar la pantalla de bienvenida de Ettercap

Vamos al menu sniff y seleccionamos Unified Sniffing. Este unified sniffing es para seleccionar la interfaz de la tarjeta de red que queremos que sniffe. (eth0 es para Ethernet y rausb0,wlan0,ath0 es para wifi) se debe considerar que hay que estar asociado a la red que quieres sniffar.

Scaneo de host: scanear host significa que hara un scan de las maquinas conectadas a tu red

Verificamos cuales son las ip que reconicio el sniff

Ahora seleccionamos la ip del cliente 1 y la agregamos al Target 1, de la misma forma al cliente 2 le agregamos el target 2, apreciandose de la siguiente forma :
Seleccionamos el Menu MITM—>ARP POISONING  y en la ventana que sale chekeamos “SNIFF REMOTE CONNECTIONS” y Aceptar
Continuamos con el ataque dando click sobre el menu Plugins , habilitando las siguientes opciones y  verificando que a su lado izquierdo se coloque un asterisco.
De esta forma se esta ejecutando el envenamiento de manera que todo el trafico pasa por nuestra maquina (Bactrack), Ahora procedemos a activar el Sniffer para visualizar los paquetes realizando de la siguiente forma:
Debemos ir al Menu START–>START SNIFFING
Para verificar que el ataque se realizo correctamente, se debe digitar en las maquinas de cada victima el comando arp – a , este comando nos muestra las entradas arp actuales. Si existe mas de una interfaz de red que utilice ARP, se muestran las entradas de cada tabla ARP.
Podremos visualizar que la Mac Address de la Victima se encuentra envenenada y tambien observaremos la ip de nuestro atacante que contiene la misma Mac Address de nuestra Victima.

Utilizaremos la Herramienta Wireshark para analizar  el  tráfico que existe en la red.
Una vez instalada esta herramienta (Wireshark ) en la maquina del atacante, se deben hacer los siguientes pasos para hacer uso de la misma.
Podemos Observar la pantalla de Bienvenida de Wireshark
Se pude minimizar la captura utilizando el filtro de captura que contiene la herramienta Wireshark, en este caso no lo realizaremos ninguna filtracion solo lo dejaremos con la interfaz eth0, para poder realizar una busqueda global.
En esta imagen se puede apreciar como la herramienta Wireshark muestra en detalle la comunicacion que existe al realizar ping de una maquina a otra.
De esta forma se puede realizar diferentes tipos de ataques utilizando estas herramientas en este caso realizaremos un ataque utilizando el plugin dos_attack que contiene la herramienta Ettercap, efectuandolo  de la siguiente manera como se visualiza en la imagen, este plugin nos permite dejar sin uso la ip de nuestra victima y asignarle una ip cualquiera siempre y cuando este disponible.
Utilizamos la ip de la victima Ip:192.168.1.11 y la remplazaremos por la Ip:192.168.1.1 debido a que esta ip no esta asignada a ninguna otra maquina.
Ahora visualizamos el Wireshark como esta analizando el tràfico
Intentaremos hacer ping a la Ip:192.168.1.11 y visualizamos como se pierden los paquetes en el transcurso del envìo.
En la herramienta Wireshark para  poder capturar los paquetes, se debe dar  click en el menu capture y elegir la opcion capturar paquete

Una vez capturado el paquete podemos realizar modificaciones sobre el mismo oh verificar la informacion que esta enviando de una maquina a otra.
Y Finalizamos con el ataque, debemos parar la ejecucion del sniffing que se esta ejecutando en la Herramienta Ettercap
Se debe Verificar  que los procesos que esta ejecutando la herramienta ettercap se terminen o finalizen
Como confirmacion de que se realizo el ataque se compruba que ya no existe ningun tipo de comunicacion entre las dos maquinas (Windows Xp). Esto se comprueba ejecutando el comando ping entre las dos maquinas.
En el siguiente link se puede apreciar el  video donde se realiza el ataque Arp -S poofing

Integrantes:

Cindy Castro

Alexandra Gutierrèz

Dixon Mena

Allysson Mora

Cynthia Suarez

Santiago Ubilla