Articles

Hacking ético – Envenenamiento ARP

Posted on
Anuncios

El Protocolo de Resolución de Direcciones (ARP) es un protocolo sin estado utilizado para resolver las direcciones IP a las direcciones MAC de las máquinas. Todos los dispositivos de red que necesitan comunicarse en la red emiten consultas ARP en el sistema para averiguar las direcciones MAC de otras máquinas. El envenenamiento de ARP también se conoce como ARP Spoofing.

Así es como funciona ARP –

  • Cuando una máquina necesita comunicarse con otra, busca en su tabla ARP.

  • Si la dirección MAC no se encuentra en la tabla, la ARP_request se emite por la red.

  • Todas las máquinas de la red compararán esta dirección IP con la dirección MAC.

  • Si una de las máquinas de la red identifica esta dirección, entonces responderá a la ARP_request con su dirección IP y MAC.

  • El ordenador solicitante almacenará el par de direcciones en su tabla ARP y se producirá la comunicación.

    • ¿Qué es el ARP Spoofing?

      Los paquetes ARP pueden ser falsificados para enviar datos a la máquina del atacante.

      • El spoofing ARP construye un gran número de paquetes de solicitud y respuesta ARP falsificados para sobrecargar el switch.

      • El conmutador se pone en modo de reenvío y después de que la tabla ARP se inunde con respuestas ARP falsificadas, los atacantes pueden olfatear todos los paquetes de la red.

      • Los atacantes inundan la caché ARP de un ordenador objetivo con entradas falsificadas, lo que también se conoce como envenenamiento. El envenenamiento ARP utiliza el acceso Man-in-the-Middle para envenenar la red.

        ¿Qué es el MITM?

        El ataque Man-in-the-Middle (abreviado MITM, MitM, MIM, MiM, MITMA) implica un ataque activo en el que el adversario se hace pasar por el usuario creando una conexión entre las víctimas y envía mensajes entre ellas. En este caso, las víctimas creen que se están comunicando entre sí, pero en realidad, el actor malicioso controla la comunicación.

        Tercera persona

        Una tercera persona existe para controlar y monitorizar el tráfico de comunicación entre dos partes. Algunos protocolos como SSL sirven para evitar este tipo de ataques.

        Envenenamiento ARP – Ejercicio

        En este ejercicio, hemos utilizado BetterCAP para realizar envenenamiento ARP en entorno LAN utilizando la estación de trabajo VMware en la que hemos instalado Kali Linux y la herramienta Ettercap para olfatear el tráfico local en LAN.

        Para este ejercicio, necesitarás las siguientes herramientas –

        • Estación de trabajo VMware
        • Kali Linux o sistema operativo Linux
        • Herramienta Ettercap
        • Conexión LAN
        • Nota – Este ataque es posible en redes cableadas e inalámbricas. Puede realizar este ataque en LAN local.

          Paso 1 – Instale la estación de trabajo VMware e instale el sistema operativo Kali Linux.

          Paso 2 – Inicie sesión en el Kali Linux utilizando el pase de usuario «root, toor».

          Paso 3 – Asegúrese de que está conectado a la LAN local y compruebe la dirección IP escribiendo el comando ifconfig en el terminal.

          Ifconfig

          Paso 4 – Abre el terminal y escribe «Ettercap -G» para iniciar la versión gráfica de Ettercap.

          Ettercap

          Paso 5 – Ahora haz clic en la pestaña «sniff» en la barra de menú y selecciona «unified sniffing» y haz clic en OK para seleccionar la interfaz. Vamos a utilizar «eth0» que significa conexión Ethernet.

          Ettercap Input

          Paso 6 – Ahora haz clic en la pestaña «hosts» en la barra de menú y haz clic en «scan for hosts». Comenzará a escanear toda la red en busca de los hosts vivos.

          Paso 7 – A continuación, haga clic en la pestaña «hosts» y seleccione «lista de hosts» para ver el número de hosts disponibles en la red. Esta lista también incluye la dirección de la puerta de enlace predeterminada. Tenemos que tener cuidado al seleccionar los objetivos.

          Pestaña de hosts

          Paso 8 – Ahora tenemos que elegir los objetivos. En MITM, nuestro objetivo es la máquina anfitriona, y la ruta será la dirección del router para reenviar el tráfico. En un ataque MITM, el atacante intercepta la red y husmea los paquetes. Por lo tanto, añadiremos la víctima como «objetivo 1» y la dirección del router como «objetivo 2».

          En el entorno VMware, la puerta de enlace por defecto siempre terminará con «2» porque «1» se asigna a la máquina física.

          Paso 9 – En este escenario, nuestro objetivo es «192.168.121.129» y el router es «192.168.121.2». Así que añadiremos el objetivo 1 como IP de la víctima y el objetivo 2 como IP del router.

          Objetivo

          Paso 10 – Ahora haz clic en «MITM» y haz clic en «Envenenamiento ARP». A continuación, marque la opción «Sniff conexiones remotas» y haga clic en Aceptar.

          Ataque Mitm

          Paso 11 – Haga clic en «start» y seleccione «start sniffing». Esto iniciará el envenenamiento ARP en la red, lo que significa que hemos habilitado nuestra tarjeta de red en «modo promiscuo» y ahora el tráfico local puede ser olfateado.

          Nota – Hemos permitido sólo el olfateo HTTP con Ettercap, así que no esperes que los paquetes HTTPS sean olfateados con este proceso.

          Paso 12 – Ahora es el momento de ver los resultados; si nuestra víctima inició sesión en algunos sitios web. Puedes ver los resultados en la barra de herramientas de Ettercap.

          Resultado

          Así es como funciona el sniffing. Seguro que has entendido lo fácil que es conseguir las credenciales HTTP sólo con activar el envenenamiento ARP.

          El envenenamiento ARP tiene el potencial de causar grandes pérdidas en los entornos de las empresas. Este es el lugar donde los hackers éticos son designados para asegurar las redes.

          Al igual que el envenenamiento ARP, hay otros ataques como MAC flooding, MAC spoofing, envenenamiento DNS, envenenamiento ICMP, etc. que pueden causar pérdidas significativas a una red.

          En el próximo capítulo, hablaremos de otro tipo de ataque conocido como envenenamiento de DNS.

          Anuncios

          .

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *