Taller Wireshark

Taller Wireshark y ARP-Spoofing
Carlos Andrs Rodallega Obando Pgina 1

CAMPUS PARTY Colombia 2010 carlosrodallega@gmail.com

Taller Wireshark, ataque y contramedidas arp-spoofing usando
ettercap y arpwatch

Inicialmente verifiquemos que tenemos los componentes necesarios para el desarrollo del taller:
Maquina atacante
Maquina Victima
Wireshark, ettercap y arpwatch instalados en el atacante

Una vez confirmado lo anterior inicializamos la dos maquinas y nos posicionamos en la maquina
atacante.
Wireshark

Desde un usuario privilegiado (Administrador) abrimos nuestra
herramienta de monitoreo Wireshark, esto es debido a que para
poder trabajar e inicializar de manera efectiva las interfaces de red
se deben poseer ciertos privilegios.

Una vez tenemos la aplicacin abierta, pasamos a conocer las
funcionalidades de los botones de la interfaz principal y en seguida pasamos a los sub-mens que
nos sern tiles para este taller.



En seguida vamos al men de captura (Capture) y seleccionamos la opcin Interfaces, en donde
nos aparecer lo siguiente.

Cerramos esta ventana y abrimos Capture->Options En seguida tendremos la ventana que nos
permitir configurar la herramienta para una captura ms depurada.



Seguido presionamos el botn Capture Filter y en seguida se nos presentara la ventana que nos
permitir crear o elegir un filtro de captura.

Una vez se ha configurado el filtro a usar, damos ok y seleccionamos la opcin start para que la
herramienta comience a realizar la captura.



Actividades del taller

1. Antes que nada debemos asignar una direccin IP a nuestra maquina monitor, en nuestro
caso como tenemos un servidor DHCP usamos el comando

Monitor->#dhclient
Solicita una direccin IP al servidor DHCP

2. Ya para comenzar con wireshark no establecemos ningn filtro de captura, as que vamos
a capturar todo el trfico que llegue a nuestra interfaz de red.
Debemos tener en claro que dependiendo de la actividad y la arquitectura de la red en la
que se encuentra nuestra maquina atacante se pueden capturar paquetes o no.
Cualquiera que sea el caso generaremos algo de trfico haciendo ping a nuestra puerta de
enlace.

Monitor->#route
Muestra la tabla de enrutamiento

Monitor->#ping IP_Gateway
Hacemos ping a la puerta de enlace

Despus de unos segundos detenemos la captura.
Qu informacin nos da la herramienta del trfico capturado?
Interpretacin de la captura.

3. A partir de este punto por cada captura que hagamos con nuestra herramienta, vamos a
guardar la informacin antes de iniciar una nueva.

Para grabar en un formato que se pueda volver a cargar por el
whireshark vamos a:
File -> Save As

Para exportarlo a un archivo de texto:
File -> Export -> As plain text file

4. Ahora iniciamos una nueva captura y con un navegador web desde nuestra victima
(maquina virtual que se sugiri) abrimos una pgina cualquiera de internet.
Como se puede ver se nuestra herramienta capturo diferentes paquetes de entrada y
salida al momento de abrir una pgina web.
Explicacin de la captura.

Si en un entorno pequeo en este caso con un dos equipos, se captura un gran cantidad de trfico,
ahora la pregunta que nos debemos hacer es Cmo ser tratar de supervisar el trafico en una red
demasiado concurrida? Una posible solucin a este problema sera



5. Ahora vamos a usar un filtro predeterminado en las capturas, esto con el fin de disminuir
capturas que en el momento no nos interesan.

Teniendo clara la IP del equipo que deseamos monitorear vamos
a usar el filtro de direcciones IP, en opciones de captura en
el campo de filtro de captura escribimos lo siguiente:

host Ip_target

Con lo anterior le decimos a nuestra herramienta que capture todo el trfico que involucra
a la IP del objetivo

6. En el paso anterior tenamos las capturas de entrada y salida de esa IP, pero si solo
necesitamos visualizar el trfico que sale de esa IP, vamos a crear una expresin que me
filtre esa informacin.

En la interfaz principal damos click en el botn de agregar
expresin:

En field name seleccionamos IP -> ip.src, en relacin == y
por ltimo la IP del objetivo, damos OK y en la interfaz
principal Apply

Como se puede ver ya estamos filtrando la visualizacin a solo paquetes que salen de una
IP especfica.



7. Para poner un poco ms interesante vamos a establecer un chat con netcat y usaremos
wireshark para capturar esa conversacin.

En el cualquiera de las dos maquinas ponemos el servidor en
este caso lo pondr en el servidor:

Monitor->#nc lp 1503

La maquina cliente se conectara a la ip del servidor en el
puerto establecido:

Target->#nc IP_Monitor 1503

Hecho esto tenemos un chat entre las dos maquinas, ahora usando lo anteriormente visto
creamos una nueva expresin que nos sirva para filtrar el trfico del puerto TCP 1503

De nuevo vamos a agregar expresin, en field name
seleccionamos TCP -> tcp.port, en relacin == y por ltimo el
numero del puerto en este caso 1503, OK y Apply

En seguida comenzamos la captura y generamos actividad en el
chat (unas 5 frases entre los clientes son suficientes).

Ahora tenemos la informacin del trfico que involucra al puerto 1503.
Seleccionando los frames que nos muestra nuestra herramienta podemos ver que estos
tienen una parte de informacin o DATA.
Que contiene ese DATA?
Por qu se puede visualizar eso?

8. Es posible capturar conversaciones de Messenger de esta forma?
Qu permite el filtro msnms?

9. Enseguida vamos a generar un filtro compuesto de dos expresiones, este nos permitir
capturar el login y contrasea de un usuario cuando esta trata de autenticarse en una
pgina que no usa el protocolo seguro https, enviando as los datos de forma insegura.

Entonces comenzamos una nueva captura sin ningn tipo de
filtro, ahora desde la vctima en una consola de comandos
hacemos ping a 3 sitios en internet y con el navegador web
accedemos a varias pginas de internet 8 aproximadamente
(esto es con el fin de que se capture una gran cantidad de
paquetes), por ultimo vamos a la pgina:

http://roguer.100webspace.net/login

Aqu intentamos iniciar sesin, con un nombre de usuario
cualquiera y una contrasea cualquiera.



Volviendo a la mquina de monitoreo y a nuestra herramienta
observamos una gran cantidad de frames capturados, as que
como ya lo hicimos antes creamos un filtro que nos muestre
solo la informacin que tiene como origen la maquina objetivo
y otro que muestre todo lo que se relacione con el puerto 80,
para lo anterior tendramos:

ip.src == IP_target
tcp.port == 80

Ahora vamos a unir estas expresiones con el fin de que solo
se muestre la informacin que sale del objetivo y que se
relaciona con el puerto 80, entonces tendramos

ip.src == IP_target and tcp.port == 80

Funciono este filtro?

Ahora vamos a crear un filtro que me capture los paquetes que
envan datos usando el mtodo post, entonces tendramos

Sugerencias? => Lo construiremos entre todos

Se logro capturar informacin crtica?
Que sucede si intento lo mismo en la siguiente pagina?

https://www.unicauca.edu.co/rc1

10. Enseguida vamos a transmitir con netcat una imagen por la red y vamos a capturar este
trfico, esto con el fin de guardar la captura para despus tratar de reconstruir el archivo.

Ahora iniciamos una nueva captura con o sin filtro, y ponemos
con netcat un puerto a la escucha que nos envie un archivo al
recibir una conexin:

Target->#nc -lp 1503 < imagen.jpg

Ahora desde el atacante nos conectamos a ese puerto y
recibimos el archivo.

Monitor->#nc lp 1503 > trafico.cap

Una vez hecho esto guardamos la captura en el formato por
defecto .cap y procedemos a reconstruir la imagen as:

Monitor->#tcpxtract -f trafico.cap -o capturado/



ARP-Spoofing Ataque con ettercap

Como se explico en la presentacin previa al taller, cuando nos encontramos trabajando sobre una
red swicheada al tratar de capturar el trfico con nuestra herramienta Wireshark, solo vamos a
poder capturar el trfico que tiene como origen y destino a nuestra tarjeta.
Lo anterior puede frustrarnos y llevarnos a pensar en que no estamos haciendo bien las cosas o
que nuestra herramienta simplemente no funciona. Pero si aplicamos un poco de lgica una
posible solucin a esto es realizar el ataque de envenenamiento de tablas ARP (ARP-Spoofing).

Para lo cual realizamos lo siguiente:

Atacante->#ifconfig
Nos muestra la configuracin de la interfaz de red del atacante

Para ejecutar el ataque necesitamos saber por lo menos la direccin_IP de nuestra vctima, en
nuestro entorno seguro basta con ir y mirar la configuracin de esta.

Victima->#ifconfig Victima->ipconfig
Nos muestra la configuracin de la interfaz de red de la victima

Victima->#arp a
Con el comando anterior se nos presentaran los registros de las tablas ARP.

Atacante->#wireshark
Con nuestra herramienta de monitoreo inicializada, comenzamos a hacer la captura del
trafico de la red ya sea usando filtros o no. Qu sucede?
En respuesta a esto procederemos a envenenar las tablas ARP necesarias

Como todo el trfico que sale o entra a nuestra victima pasa por la puerta de enlace,
procederemos a envenenar las tablas ARP de estas dos maquinas:

Atacante->#ettercap Tq M arp /ip_victima1/ /ip_victima2/
Con ettercap envenenamos las tablas ARP de las dos vctimas, en este caso la vctima y la
puerta de enlace.
Parmetros:
Tq => Indica que lo ejecutamos desde consola pero que no muestre los paquetes
capturados.
M => Tipo de ataque Hombre en medio
Arp => Parmetro del tipo de ataque que indica que se har arp-spoofing

Una vez se ha lanzado el ataque podemos verificar con el wireshark, que nuestro atacante est
enviando paquetes que mienten acerca de la direccin MAC de las IP involucradas y adems ya
aparece el trafico de las otras maquinas.



Ahora vamos a la victima a ver qu cambios hay.

Victima->#arp a
Verificamos de nuevo la tablas ARP en donde se debe ver que dos IP diferentes tienen la
misma MAC.

De vuelta en el atacante haciendo uso de las herramientas de supervisin y opciones de filtro que
estas nos ofrecen, podemos supervisar el trfico entre esos dos equipos.
Cuando se desee detener el ataque, en la consola en la que se est ejecutando el ettercap
presionamos la tecla Q, de inmediato este re-enva respuestas de tipo ARP con datos verdaderos y
se termina la ejecucin de la aplicacin.
ARP-Spoofing Contramedidas con Arpwatch

Una vez instalado vamos a poner a correr el Arpwatch.

Victima->#arpwatch i eth0
Iniciamos el demonio (proceso background) de arpwatch.

Victima->#ps e | grep arp
Miramos los procesos y filtramos, si el arpwatch ha iniciado debe aparecer en este listado

Para hacer que arpwatch nos envi notificaciones por correo debemos tener instalado un servidor
de correo en nuestra maquina (postfix). Cumpliendo con los requisitos ejecutamos el arpwatch de
la siguiente manera:

Victima->#kill id_proceso
Matamos el proceso actual del arpwatch si est corriendo

Victima->#arpwatch i eth0 m correo@destino.com
Iniciamos arpwatch para que nos enve notificaciones a un correo especfico.

Ahora atacamos de nuevo con ettercap y miramos las notificaciones que se han generado

Victima->#cat /var/log/syslog
Visualizamos el log syslog, en el cual arpwatch pone las notificaciones

Victima->#cat /var/log/syslog | more
Miramos el log syslog, detenidamente

Victima->#cat /var/log/syslog | grep arpwatch
Filtramos para que solo muestre las notificaciones escritas por arpwatch



ARP-Spoofing Contramedidas con

Ettercap nos permite usar un plugin (arp_cop) para monitorizar las
tablas arp.

En Windows est el WinArpwatch

Hay antivirus para Windows que detectan este tipo de ataque y evita
que se envenenen las tablas arp.

Sugerencias de contramedidas?

FIN

De despedida si aun no son las 12 aadimos al arp-spoofing un
dns-spoofing

Taller Wireshark

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Taller Wireshark

Transféré par

Droits d'auteur :

Formats disponibles

Taller Wireshark y ARP-Spoofing

Carlos Andrs Rodallega Obando Pgina 1

Vous aimerez peut-être aussi