Académique Documents
Professionnel Documents
Culture Documents
finalidad es situar al equipo atacante en medio del equipo víctima y el router. Esto es
necesario puesto que en una red que funciona con un switch, los paquetes viajan
directamente entre el equipo victima y el router, por lo tanto no basta con esnifar la red en
modo promiscuo.
No está demás aclarar que mientras tengamos bajo un ataque man inthe middle al PC
víctima y al router, es necesario hacer un forwarding (reenvio) de paquetes. De lo contrario
dejaríamos sin conexión a la víctima, lo cual es muy sospechoso.
NG-0.7.3 RELEASED !!
Short Ettercap is a suite for man in the middle attacks on
Description: LAN. It features sniffing of live connections, content
filtering on the fly and many other interesting tricks.
It supports active and passive dissection of many
protocols (even ciphered ones) and includes many
feature for network and host analysis.
Interface: All this feature are integrated with a easy-to-use and
pleasureful ncurses/gtk interfaces. (see screenshots)
Platform: Linux FreeBSD 4.x 5.x Mac OS X (darwin 6.x
2.0.x OpenBSD 2. 7.x)
Linux [789] 3.x Windows 2000/XP/2003
2.2.x NetBSD 1.5 Solaris 2.x
Linux
2.4.x
Linux
2.6.x
Required libpcap >= 0.8.1
Libraries: libnet >= 1.1.2.1
libpthread
zlib
Optional To enable plugins: libltdl (part of libtool)
Libraries: To have perl regexp in the filters: libpcre
To support SSH and SSL decryption: openssl 0.9.7
For the cursed GUI: ncurses >= 5.3
For the GTK+ GUI: pkgconfig >= 0.15.0 and:
- Glib >= 2.4.x
- Gtk+ >= 2.4.x
- Atk >= 1.6.x
- Pango >= 1.4.x
If you want SSH1 and/or HTTPS support, ettercap
requires OpenSSL libraries
Installation: ettercap 0.6.x is deprecated; please upgrade to
0.7.x
Binaries are not officially provided or supported
- you have to compile it yourself (which can be
tricky under Windows) or find a third-party
binary provider. The developers are unlikely to
be swayed on this.
Before installation, please ensure you have the
correct versions of the above listed libraries. For
the best experience you should have them all.
Out-of-date or missing libraries are the most
common reason for failure.
You need to read the documentation in the tgz
before and after running ./configure; make;
make install.
The command-line switches and the etter.conf
have changed from 0.6.x to 0.7. You should
read and edit the etter.conf to suit.
For HTTPS support you need to uncomment the
right 'redir' command in etter.conf.
In short, read the docs, read the man pages,
read the FAQ, read the forums, and then ask
questions. ;)
Running You need to select a user interface (no default)
Ettercap: using -T for Text only, -C for the Ncurses based
GUI, or -G for the nice GTK2 interface (thanks
Daten...).
Informático de Guardia
Vivencias de un informático metido a profesor
Blog
Soporte técnico
Ladrones de tiempo
les diga mucho pero es una de las herramientas básicas a la hora de conocer la información
A grosso modo lo que pretendemos es hacernos pasar por el router de nuestra red (por el
que pasan todas las comunicaciones tanto externas como internas) y de este modo capturar
las conversaciones que nuestros hermanos, compañeros de trabajo (si el administrador de red
de la oficina es lo suficientemente malo como para no tomar las medidas oportunas) o el famoso
vecino que nos robó la wifi (al no saber las consecuencias que esto le traería) están
manteniendo.
Ya sabemos cómo obtener sus contraseñas, veamos ahora a qué dedican su tiempo libre y de
qué hablan
Internet: nos permite aprender a hacer cosas que antes ni habíamos soñado) bastando con
Software necesario
En principio sólo necesitamos:
dsniff nos permitirá dirigir a nuestra máquina los paquetes direccionados al router
Puesta en marcha
Lanzamos en una terminal
Donde
IP_VICTIMA la del equipo cuyas conversaciones queremos escuchar (puedes ver los
equipos conectados actualmente a la red siguiendo los pasos que explicamos en su momento
de enlace)
fragrouter -B1
Basta utilizar cualquiera de las herramientas de sniffing: Wireshark, Ettercap, … para capturarlos
sesiones de chat
etc…
Espero que el artículo haya sido de interés para el “piratilla” que todos llevamos dentro. Como
colofón recordaros que la privacidad en las conversaciones es algo básico: ¡ojo con el uso que
Nuestro Blog
afa9e940331f5d7
Usar puntuación: / 2
Aquí tenemos un trabajo largo por delante; tenemos que identificar bastante
información. Para faciliar el entendimiento, voy a poner la información en tablas:
Los buenos:
10.0.2.2 ????????
10.0.3.2
10.0.4.2 Servidor DHCP
10.0.5.2
Los malos:
Malware
Otros:
74.125.77.101 www.google-
74.125.77.102 analytics.com
209.85.227.99 www.google.com
209.85.227.100 www.google.fr
209.85.227.106 clients1.google.fr
Captura 3
LEER MÁS...
afa9e940331f5d7
Usar puntuación: / 7
Sony alega que necesita la información para "identificar a aquellos que han
accedido a los dispositivos para evitar las medidas de protección de la PS3" y que
pretende "descubrir información sobre las personas que tienen acceso a un vídeo
privado subido por el Sr. Hotz sobre cómo evitar las medidas de protección de la
PS3 y sobre los que publicaron comentarios en respuesta al vídeo".
Sony quiere dejar claro que demandará a todos los que publiquen
herramientas para hackear sus productos, exigiéndoles una contraprestación
por "daños no especificados" (como ha hecho con GeoHot). Sony se pone seria...
Tus datos personales, ¿en Internet?
Lunes, 28 de Febrero de 2011 13:00 Texpaok
afa9e940331f5d7
Usar puntuación: / 3
Claro que hay algunos otros ejemplos de todo lo contrario. Existen webs
personales que proporcionan TODA la información que podamos imaginar;
un ejemplo es el siguiente: http://estrellamoya.com
Facilitamos datos personales, en el momento del registro de alta como usuario, en portales de compra, redes
sociales, portales de contactos, servicios de correo electrónico, o sistemas de mensajería instantánea.
Algunos de estos datos personales son:
> Fotografías
** Debemos saber:
A la hora de facilitar datos de carácter personal en la Red hay que asegurarse de la fiabilidad y seguridad que
nos ofrece quien los solicita, debiendo aportar, en todo caso, exclusivamente los necesarios para la finalidad
con la que están siendo recabados. Para ello, debemos acudir a las políticas de privacidad y las condiciones
de uso que se publican en los distintos sitios web.
> A través de sitios web como redes sociales, portales de contactos, portales de video, blogs y foros
> A través de ediciones digitales de distintos medios de comunicación (periódicos, televisión, radio,…)
Pueden estar en la Red sin conocimiento ni consentimiento del titular de los datos y, en muchas ocasiones, su
indexación por los buscadores puede darles una difusión global en Internet.
** Debemos saber:
En la mayoría de los casos, y salvo excepciones, tenemos derecho a solicitar que se cancelen los datos
publicados en esos sitios web o, al menos, a que se evite su recuperación por los buscadores. Para ello,
debemos dirigirnos al responsable del sitio web que aloja el contenido con nuestros datos o también, en el
caso de los blogs y foros, al autor del contenido.
> Dirección IP
Es un conjunto de números que identifica a un ordenador cuando se conecta a la red. La dirección IP puede
utilizarse para localizar geográficamente al usuario y, dado que se asigna unívocamente a la línea de
conexión por la compañía que nos presta el servicio de acceso, puede permitir en muchos casos la
identificación del titular de la línea y, en consecuencia, del probable usuario. Muchos servicios de Internet,
como las redes sociales o los buscadores, conservan las direcciones IP de los ordenadores de sus usuario
> Cookies
Son ficheros que se almacenan en el ordenador del usuario que navega a través de Internet y que, en
particular, contienen información sobre el sistema operativo y el navegador utilizados en la navegación. Estos
ficheros se asocian a un número que permite identificar unívocamente el ordenador usuario.
Las cookies son creadas por el sitio web que visita el usuario y permiten a éste conocer con detalle su
actividad en el mismo sitio o en otros con los que se relaciona éste, por ejemplo: el lugar desde el que accede,
el tiempo de conexión, el dispositivo desde el que accede (fijo o móvil), el sistema operativo y navegador
utilizados, las páginas más visitadas, el número de clicks realizados e infinidad de datos respecto al
comportamiento del usuario en Internet.
Pueden permitir elaborar perfiles sobre nuestra navegación por Internet, los cuales se utilizan para analizar
nuestros gustos y preferencias, con objeto de determinar nuestra idoneidad como participantes en campañas
publicitarias, de marketing u otras actividades. Además, los efectos sobre la privacidad pueden tener un
alcance mayor al que cabe pensar en un primer momento, ante la posibilidad de relacionar su contenido con
la dirección IP de conexión y con otros datos de carácter personal, como son los aportados por los propios
usuarios al registrarse o los que pueden ser recopilados a través de modernas técnicas de minería de datos.
** Debemos saber:
Los sitios web deben informarnos de la utilización de cookies. Además, es posible y recomendable, a través
de las herramientas que proporciona el navegador que utilicemos, borrar regularmente las cookies que se
almacenan en nuestro ordenador.
Introducción.
El lenguaje usado por Snort es flexible y potente, basado en una serie de normas que serán
las que nos sirvan de guía para la escritura de las reglas.
Las reglas Snort (Snort Rules) deben ser escritas en una sola línea, de lo contrario habrá
que usar el carácter de escape (\):
La reglas Snort las podemos dividir en dos secciones lógicas, a saber: cabecera de la regla
y opciones:
La cabecera contiene la acción de la regla en sí, protocolo, IPs, máscaras de red, puertos
origen y destino y destino del paquete o dirección de la operación.
La sección opciones contiene los mensajes y la información necesaria para la decisión a
tomar por parte de la alerta en forma de opciones.
Resumiendo lo visto hasta ahora, las reglas Snort las dividiremos de la siguiente manera:
CABECERA
Acción
Protocolos involucrados
Direcciones IP
Números de puerto
Dirección de la operación
Introducción.
El lenguaje usado por Snort es flexible y potente, basado en una serie de normas que serán
las que nos sirvan de guía para la escritura de las reglas.
Las reglas Snort (Snort Rules) deben ser escritas en una sola línea, de lo contrario habrá
que usar el carácter de escape (\):
La reglas Snort las podemos dividir en dos secciones lógicas, a saber: cabecera de la regla
y opciones:
La cabecera contiene la acción de la regla en sí, protocolo, IPs, máscaras de red, puertos
origen y destino y destino del paquete o dirección de la operación.
La sección opciones contiene los mensajes y la información necesaria para la decisión a
tomar por parte de la alerta en forma de opciones. Irán entre paréntesis.
Resumiendo lo visto hasta ahora, las reglas Snort las dividiremos de la siguiente manera:
CABECERA
Acción
Protocolos involucrados
Direcciones IP de origen y destino
Números de puerto
Dirección de la operación
OPCIONES
Mensaje
Opciones de decisión
EJEMPLO 1
Veamos ahora un ejemplo de regla Snort para alertar de un escaneo nmap del
tipo TCP ping:
CABECERA
Protocolo: tcp
OPCIONES
Mensaje: msg
Un poco de teoría:
sid:628 Identificación única para esta regla snort según unos tramos
determinados.
EJEMPLO 2
alert tcp any any -> 192.168.1.0/24 111 (content:"|00 01 86 a5|"; msg:
"mountd access";)
Dos consideraciones:
Para resumir, vemos que la cabecera de las reglas sigue el siguiente formato:
<direccion de la operación>
Podemos jerarquizar las reglas usando los includes. Estos includes nos permiten crear
reglas dentro de otras. El formato sería:
include
Podemos usar variables (lo hemos visto en el ejemplo anterior). Estas variables se definen
en el archivo etc/snort.conf (estudiaremos este archivo de configuración en otros
capítulos).
var
Por ejemplo:
alert tcp any any -> $MY_NET any (flags: S; msg "SYN Packet";)
Otras variables que podemos defini puede ser la red externa o EXTERNAL_NET o la
ubicación de un servidor Oracle, servidor SQL,etc.
Es decir, usaremos las variables para la mejor configuración de los valores de nuestra red.
alert genera una alerta usando el métido de alerta seleccionado y almacena el log.
log archiva el log del paquete
pass ignora el paquete
activate activa la alerta y llama a una regla dinámica
dynamic cuando es llamada por una regla activate se pone en funcionamiento
Algunos ejemplos:
pass ip 10.x.x.0/22 any -> any any (content: "Open Port * 80"; msg: \ "Open Port 80."; )
Crear una regla Snort "desde cero" para la detección de ping desde windows 2000.
Para detectar un ping realizado desde fuera de nuestra red, lo primero que debemos saber es
qué tipo de datos intervienen en la cabecera del datagrama IP, en la ICMP y los datos.
Así que la cuestión es cómo averiguar el resto de datos y, sobre todo, qué traza deja un
ping enviado desde windows 2000.
Para todo esto contamos con un tipo de herramientas llamadas sniffers. Utilizaremos para
nuestra práctica Ethereal (ahora WireShark) por ser de los más intuitivos y fáciles de usar
e interpretar. Podemos usar también TCPDump/Windump.
3. Enviamos el ping al host receptor, dejando unos segundos para que "termine" el
ping y pulsamos Stop en el panel de captura del host receptor
Pulsando encima de la información nos saldrá algo paracido a esto en Ethereal:
0000 61 62 63 64 65 66 67 68 69 6a 6b 6c 6d 6e 6f 70 abcdefghijklmnop
0010 71 72 73 74 75 76 77 61 62 63 64 65 66 67 68 69 qrstuvwabcdefghi
Las dos últimas líneas son los datos (32 bytes) que nos servirán como firma o huella
para nuestra regla snort.
Ya sabemos la firma o huella que deja un ping en Windows 2000. Ya sólo nos queda crear
una regla donde la opcion content tenga los datos "abcdefghijklmnopqrstuvwabcdefghi"
alert ICMP $EXTERNAL any -> $INTERNAL any (msg: "ICMP ping en Windows
2000."; dsize: 32; itype: 8; content: "abcdefghijklmnopqrstuvwabcdefghi"; depth:
32;)
dsize: tamaño de datos. comprobación del tamaño del contenido del paquete.
De esta práctica podemos desprender que para la creación de la mayoría de las reglas
Snort el procedimiento es estudiar las trazas dejadas por cortafuegos y NIDS que
supongan algún tipo de ataque o intrusión al sistema que queremos proteger.
Las reglas Snort de ubican en ficheros .rules (snort rules). Aquí vemos parte del contenido
de uno de estos ficheros:
alert tcp any 110 -> any any (msg:"Virus - Possible pif Worm"; content: ".pif";
nocase; sid:721; classtype:misc-activity; rev:3;)
alert tcp any 110 -> any any (msg:"Virus - Possible NAVIDAD Worm"; content:
"NAVIDAD.EXE"; nocase; sid:722; classtype:misc-activity; rev:3;)
alert tcp any 110 -> any any (msg:"Virus - Possible MyRomeo Worm"; content:
"myromeo.exe"; nocase; sid:723; classtype:misc-activity; rev:3;)
alert tcp any 110 -> any any (msg:"Virus - Possible MyRomeo Worm"; content:
"myjuliet.chm"; nocase; sid:724; classtype:misc-activity; rev:3;)
alert tcp any 110 -> any any (msg:"Virus - Possible MyRomeo Worm"; content: "ble
bla"; nocase; sid:725; classtype:misc-activity; rev:3;)
alert tcp any 110 -> any any (msg:"Virus - Possible MyRomeo Worm"; content: "I
Love You"; sid:726; classtype:misc-activity; rev:3;)
alert tcp any 110 -> any any (msg:"Virus - Possible MyRomeo Worm"; content:
"Sorry... Hey you !"; sid:727; classtype:misc-activity; rev:3;)
alert tcp any 110 -> any any (msg:"Virus - Possible MyRomeo Worm"; content: "my
picture from shake-beer"; sid:728; classtype:misc-activity; rev:3;)
Crearemos un fichero como este personalizado para almacenar nuestras reglas creadas (lo
importante de este fichero de texto plano son las reglas, el resto -con la marca # - es sólo a
título informativo).