ARP: se encarga de manejar la relación entre el identificador MAC y la IP.

SPOOFING: es suplantación de identidad.

Es una técnica usada para infiltrarse en una red Ethernet conmutada, que puede permitir al atacante husmear paquetes de datos en la LAN, modificar el tráfico, o incluso detenerlo.

El objetivo principal del ataque ARP SPOOFING

Es la suplantación de identidad por falsificación de tabla ARP.

¿Cómo Funciona el ataque ARP SPOOFING con BACK TRACK?

Nuestra herramienta de utilización es el VMware 7.

La configuración de la tarjeta de red debe estar VMnet1 (Host-only)

Nuestro laboratorio de prueba está conformado por 3 equipos.

  • 2 equipos WINDOWS XP

Dirección: 192.168.1.10

Dirección: 192.168.1.20

  • 1 equipo de back-track

Dirección de red: 192.168.1.1

Una vez configurado la tarjeta de red.

Tendremos que probar la conexión entre las maquinas virtuales.

Esto lo haremos realizando ping en la maquina 1.

Y haremos un ping prolongado (-t).

La misma configuración se tiene que hacer a la maquina 2.

Confirmo que mis equipos están conectados correctamente.

Utilizaremos una herramienta de  back track. 

Es una interconectar o registrador para LAN, de soporte de direcciones activas y pasivas para varios protocolos.

Como llegar a ETTERCAP:

Nos Muestra la Pantalla de bienvenida de ETERCARP, y debemos seleccionar la tarjeta de red que vamos a utilizar.

Realizamos un escaneo para observar todos los host que están en la  red.

Realizamos un Listado de todos los host.

Agrego al cliente 1 al Add to Target 1

Agrego al cliente 2 al Add to Target 2

Nos vamos al menú MITM, para escoger la opción Arp Poisoning

Para continuar con los ataque

Vamos con la opción Plugins | Manage the Plugins

Habilitamos la siguiente opción repoison_arp 1.0 Reppoison after broadcast ARP.

De esta forma se está ejecutando el envenenamiento y todo el trafico pasa por la maquina back-track.

Para verificar que el ataque se realizo con éxito se debe digitar en cada máquina victima el comando arp. Este comando muestra las entradas ARP actuales si existe más de una interfaz de red que utiliza ARP se muestra cada tabla de red. Puede ver más de una direcciones ARP significa que nuestra tabla ah sido envenado.

Una vez verificado el envenenamiento. Luego nos dirigimos al back trac y utilizaremos una herramienta que nos sirve para analizar el tráfico que existe en la red.

Esta herramienta nos va ah ayudar a verificar la tablas de las ARP. Una vez ingresado al programa nos dirigimos a la tarjeta de red. Y nos dice de donde ah donde están haciendo ping 

Luego intentamos para el ping en una de las maquinas. Para poder ver cómo se comporta el ping en una de las maquinas.

Luego de que paramos el ping regresamos al back trac. Y vemos que ya todos los ping pararon pero igual se sigue teniendo tráfico 

Luego de esto la información de las maquinas victimas que se envíen pasaran primero por la maquina atacante.  Luego cerramos el proceso para terminar el ataque a dichas maquinas

Luego de esto verificamos en las maquinas victimas que el proceso ping se normalice… y se hayan bajado todos los servicios correctamente.

Luego se verifica en la herramienta wireshark verificamos todos los procesos.

Y así llegamos a la terminación del ataque de ARP-Spoffing…

Integrantes:

Roberto Casquete

María del Carmen Loaiza

Jennifer Crespo

Delia Becerra