Académique Documents
Professionnel Documents
Culture Documents
Inicialmente verifiquemos que tenemos los componentes necesarios para el desarrollo del taller:
Maquina atacante
Maquina Victima
Wireshark, ettercap y arpwatch instalados en el atacante
Una vez confirmado lo anterior inicializamos la dos maquinas y nos posicionamos en la maquina
atacante.
Wireshark
Cerramos esta ventana y abrimos Capture->Options… En seguida tendremos la ventana que nos
permitirá configurar la herramienta para una captura más depurada.
Seguido presionamos el botón Capture Filter y en seguida se nos presentara la ventana que nos
permitirá crear o elegir un filtro de captura.
Una vez se ha configurado el filtro a usar, damos ok y seleccionamos la opción start para que la
herramienta comience a realizar la captura.
1. Antes que nada debemos asignar una dirección IP a nuestra maquina monitor, en nuestro
caso como tenemos un servidor DHCP usamos el comando
Monitor->#dhclient
Solicita una dirección IP al servidor DHCP
2. Ya para comenzar con wireshark no establecemos ningún filtro de captura, así que vamos
a capturar todo el tráfico que llegue a nuestra interfaz de red.
Debemos tener en claro que dependiendo de la actividad y la arquitectura de la red en la
que se encuentra nuestra maquina atacante se pueden capturar paquetes o no.
Cualquiera que sea el caso generaremos algo de tráfico haciendo ping a nuestra puerta de
enlace.
Monitor->#route
Muestra la tabla de enrutamiento
Monitor->#ping IP_Gateway
Hacemos ping a la puerta de enlace
3. A partir de este punto por cada captura que hagamos con nuestra herramienta, vamos a
guardar la información antes de iniciar una nueva.
4. Ahora iniciamos una nueva captura y con un navegador web desde nuestra victima
(maquina virtual que se sugirió) abrimos una página cualquiera de internet.
Como se puede ver se nuestra herramienta capturo diferentes paquetes de entrada y
salida al momento de abrir una página web.
Explicación de la captura.
Si en un entorno pequeño en este caso con un dos equipos, se captura un gran cantidad de tráfico,
ahora la pregunta que nos debemos hacer es ¿Cómo será tratar de supervisar el trafico en una red
demasiado concurrida? Una posible solución a este problema sería…
5. Ahora vamos a usar un filtro predeterminado en las capturas, esto con el fin de disminuir
capturas que en el momento no nos interesan.
host Ip_target
Con lo anterior le decimos a nuestra herramienta que capture todo el tráfico que involucra
a la IP del objetivo
6. En el paso anterior teníamos las capturas de entrada y salida de esa IP, pero si solo
necesitamos visualizar el tráfico que sale de esa IP, vamos a crear una expresión que me
filtre esa información.
Como se puede ver ya estamos filtrando la visualización a solo paquetes que salen de una
IP específica.
7. Para poner un poco más interesante vamos a establecer un chat con netcat y usaremos
wireshark para capturar esa conversación.
Hecho esto tenemos un chat entre las dos maquinas, ahora usando lo anteriormente visto
creamos una nueva expresión que nos sirva para filtrar el tráfico del puerto TCP 1503
9. Enseguida vamos a generar un filtro compuesto de dos expresiones, este nos permitirá
capturar el login y contraseña de un usuario cuando esta trata de autenticarse en una
página que no usa el protocolo seguro https, enviando así los datos de forma insegura.
http://roguer.100webspace.net/login
ip.src == IP_target
tcp.port == 80
https://www.unicauca.edu.co/rc1
10. Enseguida vamos a transmitir con netcat una imagen por la red y vamos a capturar este
tráfico, esto con el fin de guardar la captura para después tratar de reconstruir el archivo.
Como se explico en la presentación previa al taller, cuando nos encontramos trabajando sobre una
red swicheada al tratar de capturar el tráfico con nuestra herramienta Wireshark, solo vamos a
poder capturar el tráfico que tiene como origen y destino a nuestra tarjeta.
Lo anterior puede frustrarnos y llevarnos a pensar en que no estamos haciendo bien las cosas o
que nuestra herramienta simplemente no funciona. Pero si aplicamos un poco de lógica una
posible solución a esto es realizar el ataque de envenenamiento de tablas ARP (ARP-Spoofing).
Atacante->#ifconfig
Nos muestra la configuración de la interfaz de red del atacante
Para ejecutar el ataque necesitamos saber por lo menos la dirección_IP de nuestra víctima, en
nuestro entorno seguro basta con ir y mirar la configuración de esta.
Victima->#ifconfig Victima->ipconfig
Nos muestra la configuración de la interfaz de red de la victima
Victima->#arp –a
Con el comando anterior se nos presentaran los registros de las tablas ARP.
Atacante->#wireshark
Con nuestra herramienta de monitoreo inicializada, comenzamos a hacer la captura del
trafico de la red ya sea usando filtros o no. ¿Qué sucede?
En respuesta a esto procederemos a envenenar las tablas ARP necesarias
Como todo el tráfico que sale o entra a nuestra victima pasa por la puerta de enlace,
procederemos a envenenar las tablas ARP de estas dos maquinas:
Una vez se ha lanzado el ataque podemos verificar con el wireshark, que nuestro atacante está
enviando paquetes que mienten acerca de la dirección MAC de las IP involucradas y además ya
aparece el trafico de las otras maquinas.
Victima->#arp –a
Verificamos de nuevo la tablas ARP en donde se debe ver que dos IP diferentes tienen la
misma MAC.
De vuelta en el atacante haciendo uso de las herramientas de supervisión y opciones de filtro que
estas nos ofrecen, podemos supervisar el tráfico entre esos dos equipos.
Cuando se desee detener el ataque, en la consola en la que se está ejecutando el ettercap
presionamos la tecla Q, de inmediato este re-envía respuestas de tipo ARP con datos verdaderos y
se termina la ejecución de la aplicación.
Victima->#arpwatch –i eth0
Iniciamos el demonio (proceso background) de arpwatch.
Para hacer que arpwatch nos envié notificaciones por correo debemos tener instalado un servidor
de correo en nuestra maquina (postfix). Cumpliendo con los requisitos ejecutamos el arpwatch de
la siguiente manera:
Victima->#kill id_proceso
Matamos el proceso actual del arpwatch si está corriendo
Ahora atacamos de nuevo con ettercap y miramos las notificaciones que se han generado
Victima->#cat /var/log/syslog
Visualizamos el log syslog, en el cual arpwatch pone las notificaciones
Hay antivirus para Windows que detectan este tipo de ataque y evita
que se envenenen las tablas arp.
¿Sugerencias de contramedidas?
FIN