ARP-spoofing. 5
Petukhov Oleg, advogado de Direito Internacional e proteção de dados pessoais, especialista em informação segurança, proteção de informações e dados pessoais.
Canal do Telegram: https://t.me/protecaodaInformacao
Grupo em Telegram: https://t.me/protecaodaInformacao1
Site: https://legascom.ru
Correio eletrónico: online@legascom.ru
#segurançadaInformação #Segurançadainformação
ARP spoofing (ARP Cache poisoning) es un ataque utilizado para escuchar una red construida en conmutadores.
ARP (Inglés El protocolo de resolución de direcciones (Address Resolution Protocol, protocolo de resolución de direcciones) es un protocolo de bajo nivel utilizado en redes informáticas para determinar la dirección de una capa de enlace de una dirección de capa de red conocida.
La esencia de este ataque es la siguiente. El atacante envía paquetes ARP falsos para convencer a la computadora de la víctima de que la computadora que escucha es el destino final. Luego, los paquetes de la computadora de la víctima son interceptados y enviados al destinatario real, la dirección MAC del remitente se reemplaza en ellos para que los paquetes de respuesta también pasen a través de la computadora que escucha. La computadora que escucha se convierte en una" puerta de entrada "para el tráfico de la víctima, y los atacantes obtienen la capacidad de escuchar el tráfico realizando un ataque de hombre en el medio.
Vale la pena señalar que al intentar escuchar el tráfico de varias computadoras que se comunican activamente y, en consecuencia, el desbordamiento de las tablas de APR que se produce en este caso, es posible una sobrecarga y, como resultado, una caída de la red. Esto, entre otras cosas, está plagado de detección de ataques.
También vale la pena señalar que este ataque solo se puede implementar si tiene acceso a la red local. Es decir, un atacante que se encuentre fuera de la red local no podrá realizar ARP Spoofing. Para implementar este ataque, primero tendrá que tomar el control de una de las máquinas ubicadas en la red local corporativa, y solo entonces desde esta máquina para llevar a cabo el envenenamiento de la memoria caché ARP. De acuerdo, no es la forma más fácil de implementar un ataque.
Vamos a hacer un poco de trabajo práctico sobre la implementación de ARP-Spoofing.
Entonces, ¿Cuáles serán los datos iniciales?
Hay varias computadoras conectadas al conmutador. Necesitamos interceptar el tráfico que se transmite entre estas máquinas. Si utilizamos la utilidad tcpdump descrita anteriormente, solo podremos ver los paquetes que van desde o hacia nuestra máquina. De acuerdo, no muy informativo. Para escuchar el tráfico que va a otros hosts, tenemos que "envenenar" el ARP de la caché. Para resolver este problema, necesitaremos snifers especiales.
En nuestro ejemplo, usaremos la utilidad ettercap Esta aplicación tiene ediciones en plataformas Windows y *nix.
La intercepción se puede realizar de tres maneras. Y si las opciones estándar de MAC e IP no nos interesan mucho, entonces ARP poisoning based sniffing es exactamente la característica que necesitamos. En este caso, no se requiere ningún esfuerzo para aplicarlo: toda la configuración se reduce a especificar las máquinas que se escuchan en destination y source.
Como intermediario, no solo puede interceptar paquetes de red, sino que también puede eliminarlos o incluso modificarlos utilizando las herramientas de ettercap. Por otra parte, vale la pena señalar la función de interceptar contraseñas que se ejecutan en los protocolos cifrados SSH1, SSH2 y SSL/HTTPS. Para usarlo, debe ejecutar el programa con filtros especiales (por ejemplo, para ssh así: ettercap-F etter.filter.ssh).
Ahora, de hecho, la práctica. Para escuchar el tráfico intercambiado por las máquinas 192.168.1.2 y 192.168.1.254, debe ejecutar el siguiente comando:
root@kali : # ettercap -T -M arp -L log /192.168.1.2/ /192.168.1.254/
Las opciones significan:
- T-usar interfaz de texto (consola) ;
- M arp-usar el módulo ARP-Spoofing para realizar un ataque;
- L log-escribe el registro de intercepción en archivos llamados log.*.
Los argumentos especifican las direcciones IP de las máquinas contra las que se debe realizar el ataque ARP-spoofing.
El resultado de esta utilidad se muestra en la pantalla y se escribe en un archivo de texto. Para detener el registro, debe presionar q.
Interrumpir el trabajo de la utilidad de otras maneras (por ejemplo, Ctrl-Z) es extremadamente indeseable, ya que entonces las tablas ARP de esas dos máquinas permanecerán intoxicadas. Y dado que el programa intermediario de ettercap ya no funcionará, la comunicación entre los hosts desaparecerá, lo que parecerá muy sospechoso.
Para ver el tráfico interceptado, puede usar la utilidad etterlog. El archivo de registro predeterminado se llama log.eci.
Así es como, por ejemplo, pueden verse las credenciales interceptadas a un buzón de correo electrónico a través del protocolo POP 3.
etterlog log.eci
etterlog NG-0.7.3 copyright 2001-2004 ALoR & NaGA
Log file version : NG-0.7.3
Timestamp : Thu Jan 21 12:23:11 2012
Type : LOG_INFO
1698 tcp OS fingerprint
7587 mac vendor fingerprint
2183 known services
==================================================
IP address : 192.168.15.2
MAC address : 00:04:75:75:46:B1
...
MANUFACTURER : Sohoware
DISTANCE : 0
TYPE : LAN host
FINGERPRINT :
OPERATING SYSTEM : UNKNOWN
PORT : TCP 110 | pop-3 []
ACCOUNT : user
/ password
(192.168.15.2)
==================================================
Considere también el trabajo de esta utilidad con una interfaz gráfica. Para hacer esto, debe ejecutar el comando
ettercap –G
Luego debemos elegir el tipo de intercepción de tráfico Unified o Bridged. El primero produce una simple intercepción de tráfico, mientras que el segundo está diseñado para interferir con el proceso de transmisión de tráfico. Seleccione unified. A continuación, especifique la interfaz de red utilizada. Puede especificar la opción cableada e inalámbrica.
Luego tenemos que decidir a quién queremos interceptar el tráfico. Para hacer esto, debe escanear la red en busca de nodos activos. Para iniciar el escaneo, seleccione Hosts, luego Scan for hosts. Obtenemos una lista de nodos activos con direcciones IP y MAC. Seleccione el nodo deseado y haga clic en Add to Target 1. En esta ventana todavía hay un botón Add to Target 2. En el caso de que queramos interceptar solo el tráfico entre dos nodos específicos de la lista, es necesario especificar el segundo nodo y presionar Add to Target 2. Y si queremos interceptar todo el tráfico para este nodo, entonces no es necesario seleccionar el segundo nodo.
A continuación, inicie el escaneo presionando Start, Start Sniffing. A continuación, completamos el proceso de envenenamiento por ARP seleccionando MITM / ARP Poisoning. La opción Sniff Remote Connections debe estar habilitada.
Luego, Wireshark puede interceptar el tráfico de manera similar a como lo hicimos anteriormente.
Cuando haya terminado de recopilar paquetes en Ettercap, debe desactivar ARP poison haciendo clic en Start / Stop sniffing.
El atacante, una vez en la red, puede llevar a cabo un ataque de tipo "hombre en el medio, MitM", es decir, tratar de convertirse en un intermediario entre los nodos legales. Con MitM, es posible implementar muchos ataques diferentes que involucran no solo escuchar, sino también modificar el tráfico que pasa. Pero en el contexto del tema, implementamos la intercepción de contraseñas, al mismo tiempo que nos familiarizamos con un par de utilidades útiles de Kali Linux.
Entonces, asumamos que sabemos qué nodos están activos en la red en este momento. Dado que la máquina del atacante actúa como intermediario, primero debemos permitir el reenvío de paquetes IP (IP forwarding). Esto se puede hacer de la siguiente manera:
echo 1 > /proc/sys/net/ipv4/ip_forward
Ahora es necesario implementar ARP spoofing (es decir, la sustitución de direcciones MAC para ciertas direcciones IP). La máquina del atacante será un intermediario entre la puerta de enlace predeterminada y la red local. Si la dirección de la puerta de enlace es 192.168.1.1 y nuestra dirección es 192.168.1.100, entonces para la sustitución necesitamos hacer lo siguiente.
arpspoof –t 192.168.1.1 192.168.1.100
La utilidad arpspoof está destinada a la suplantación de direcciones MAC.
Para el correcto funcionamiento de ARP spoofing es necesario hacer la sustitución y en la dirección opuesta.
arpspoof –t 192.168.1.100 192.168.1.1
A continuación, debemos comenzar a interceptar el tráfico. Es cierto que, a diferencia de los ejemplos anteriores, aquí interceptaremos, o más bien mostraremos no todo el tráfico, sino solo las contraseñas de varias aplicaciones. Para ello, utilizaremos la utilidad dsniff.
root@kali:~# dsniff
---------------
05/21/00 10:49:10 bob -> unix-server (ftp)
USER bob
PASS dontlook
---------------
05/21/00 10:53:22 karen -> lax-cisco (telnet)
karen
supersecret
---------------
05/21/00 11:01:11 karen -> lax-cisco (snmp)
[version 1]
private
Como resultado del trabajo, interceptamos varias contraseñas.
Dsniff permite interceptar contraseñas enviadas por HTTP, POST data, HTTP Basic and Digest authentications, FTP, IRC, POP, IMAP, SMTP, NTLMv1/V2 (HTTP, SMB, LDAP, etc.).
Para evitar el spoofing ARP, puede usar la utilidad arpwatch. Esta utilidad le permite confirmar el ataque, pero debe ejecutarse en ambas máquinas atacadas, de lo contrario, el atacante podría intentar realizar un ataque unilateral. Además, arpwatch solo captura el ataque, pero no lo previene. La prevención requiere el desarrollo de scripts y controladores de eventos adicionales.
Una posible forma de protección es usar ARP estático. La tabla ARP se puede generar manualmente y no es vulnerable a los ataques ARP. Para hacer esto, debe agregar las direcciones MAC necesarias a la tabla.
Si deshabilita el uso de ARP en las interfaces de red, solo estarán disponibles los sistemas (1) cuyas direcciones MAC se hayan agregado a la tabla ARP de nuestro nodo y (2) nuestra dirección MAC se haya agregado a las tablas ARP de nodo,
con los que se intercambia el tráfico.
Si no deshabilita el uso de ARP en las interfaces de red, la dirección MAC establecida estáticamente tiene prioridad. Si no se especifica una dirección MAC para una dirección IP, se utiliza una solicitud ARP.
Otros métodos para combatir el Spoofing ARP son el uso de cifrado, así como el uso de VLAN de área local virtual.
La computadora del atacante solo puede usar ARP-spoofing contra la computadora de la víctima si están en la misma red de capa de enlace. En el caso de que estén separados por el enrutador, el ataque no es posible (es posible atacar el enrutador, pero eso es otra cosa).
Las VLAN ayudan a segmentar la red: convierten una red en muchos fragmentos aislados a nivel de enlace que están conectados entre sí por un enrutador. El ataque ARP-spoofing solo es posible entre computadoras que se encuentran en la misma VLAN'e.en el caso más extremo, cuando solo hay dos computadoras en cada VLAN'e: la computadora y el enrutador en sí, el ataque ARP − spoofing se vuelve imposible en principio. Desafortunadamente, esta organización de red es muy exigente con los recursos del enrutador y rara vez se usa.
Una de las principales razones de la impopularidad de este método de protección es la necesidad de admitir conmutadores VLAN, así como la necesidad de dedicar tiempo a la configuración adicional del equipo de red.
