Ataque man-in-the-middle en Linux

Posted 4 Septiembre 2008
Filed under: Linux, Seguridad | Tags: , , , , , , |

Puede que a algunos el ataque Man in the middle (o MitM) no les diga mucho pero es una de las herramientas básicas a la hora de conocer la información que fluye a lo largo y ancho de nuestra red local (o intranet).

A grosso modo lo que pretendemos es hacernos pasar por el router de nuestra red (por el que pasan todas las comunicaciones tanto externas como internas) y de este modo capturar las conversaciones que nuestros hermanos, compañeros de trabajo (si el administrador de red de la oficina es lo suficientemente malo como para no tomar las medidas oportunas) o el famoso vecino que nos robó la wifi (al no saber las consecuencias que esto le traería) están manteniendo.

Ya sabemos cómo obtener sus contraseñas, veamos ahora a qué dedican su tiempo libre y de qué hablan :)

Aunque pueda parecer extremadamente complejo no lo es en absoluto (esa es la ventaja de Internet: nos permite aprender a hacer cosas que antes ni habíamos soñado) bastando con lanzar un par de comandos.

Software necesario

En principio sólo necesitamos:

  • dsniff nos permitirá dirigir a nuestra máquina los paquetes direccionados al router
  • fragrouter para habilitar el enrutado (ip forwarding)

Para instalarlos sólo debemos visitar Synaptic o lanzar desde la terminal

apt-get install dsniff fragrouter

Puesta en marcha

Lanzamos en una terminal

sudo arpspoof -i TARJETA_RED -t IP_VICTIMA IP_ROUTER

Donde

  • TARJETA_RED es la que utilizamos para conectarnos a la red (eth0, eth1, wlan0, …)
  • IP_VICTIMA la del equipo cuyas conversaciones queremos escuchar (puedes ver los equipos conectados actualmente a la red siguiendo los pasos que explicamos en su momento para detectar intrusos en la red)
  • IP_ROUTER puedes obtenerlo con un ifconfig en la terminal (recuerda que es la puerta de enlace)

En otra terminal lanza

fragrouter -B1

Capturar información de red

A partir de este momento todos los paquetes que envíe el equipo que estamos espiando (IP_VICTIMA) pasarán por nuestro equipo.

Basta utilizar cualquiera de las herramientas de sniffing: Wireshark, Ettercap, … para capturarlos y seleccionar aquellos que nos resulten de interés.

Esta receta se centra en cómo perpetrar el ataque en Linux, en próximas entregas, y en función de la aceptación del mismo explicaremos, entre otros:

  • cómo capturar los correos electrónicos
  • sesiones de chat
  • páginas web visitadas
  • etc…

Espero que el artículo haya sido de interés para el “piratilla” que todos llevamos dentro. Como colofón recordaros que la privacidad en las conversaciones es algo básico: ¡ojo con el uso que dais a esta información!

13 comentarios hasta ahora

  1. rafa on 4 Septiembre 2008

    Muy bueno! Sinceramente, me parace genial conocer las técnicas de defensa/ataque y como podemos saber a que atenernos.

    Sabia de estas técnicas pero nunca me imaginé lo sencillo que sería. ;-)

    Tremendo, ya estoy por quitar el Wifi de casa ;-)

    Responder
  2. jasvazquez on 4 Septiembre 2008

    No lo quites Rafa… protégete.

    Ahora que empiezan a verse los puntos negativos de dicha tecnología puede que sea el momento de ir tratando cómo solucionar los problemas para estar mas seguros

    Responder
  3. albertjh on 4 Septiembre 2008

    Creo recordar que era asi:

    arpspoof -i TARJETA_RED -t IP_VICTIMA IP_ROUTER GETAWAY

    Y en el frag se necesita la interfaz:

    fragrouter -i INTERFAZ -B1

    Saludos!

    Responder
    • ^^ on 25 Agosto 2009

      THX, ahora si me va!!!

      Responder
  4. jasvazquez on 4 Septiembre 2008

    Hola Alberto

    por no liar al personal, indicar que la única variación con lo que aparece en el artículo es el uso del parámetro -i INTERFAZ que en la documentación aparece como opcional (si no se indica se toma por defecto la tarjeta de red activa)

    Si alguien tiene problemas que no dude en dar un toque y lo solucionamos

    Salu2 a todos

    Responder
  5. El ataque Man In the Middle [video tutoriales] on 17 Septiembre 2008

    [...] y prescisamente usa dichas herramientas. Así que te invito a que leas en su blog acerca de ello: Ataque man-in-the-middle. Etiquetas: arp spoofing, ettercap, hacking, video tutoriales, wireshark Esta entrada fue [...]

    Responder
  6. Explicación gráfica del ataque man-in-the-middle « Informático de Guardia on 23 Septiembre 2008

    [...] aprovechado realmente bien el tiempo que se ha ahorrado al no tener que explicar cómo realizar un ataque man-in-the-middle y nos ha regalado una recopilación de vídeos donde se explica de una forma muy clara en qué [...]

    Responder
  7. Noxes on 15 Julio 2009

    Sencillo, corto y preciso, asi es este articulo, me gusta mucho todas las entradas de este blog.
    Soy estudiante de sistemas y todo esto me fascina, pero sobre todo me ayuda mucho, porque probablemente estoy decidido a especializarme en todo esto.
    Sin embargo tengo una pregunta.
    Despues de hacer un poisonamiento (^_^je) al equipo B para que todo su trafico saliente pase primero por el nuestro y luego al switch. ¿Que pasaria si mi equipo no esta encendido?, es decir, en ese caso ¿el equipo B sufriria un DoS?

    Responder
    • jasvazquez on 16 Julio 2009

      Interesante planteamiento @Noxes.

      Imagino que el equipo quedaría sin poder navegar y el usuario se vería obligado a reparar la conexión a Internet. Pero sólo son imaginaciones mías. Lo más adecuado sería hacer una prueba y ver cómo responde el equipo B, ¿no te parece? ;)

      Responder
  8. steve on 14 Agosto 2009

    Para cuando??

    “Esta receta se centra en cómo perpetrar el ataque en Linux, en próximas entregas, y en función de la aceptación del mismo explicaremos, entre otros”

    Responder
  9. Duk on 23 Agosto 2009

    Hola, hice todo lo que pone, pero al ordenador victima lo dejo sin internet. que pasa???

    Responder
  10. Cables on 2 Septiembre 2009

    Buenas

    Lo he probado y sin problemas, una herramienta muy potente, el unico problema que veo es que al terminar el ataque se queda la victima sin red, hasta que no la repare o caduque la entrada de arp, con el consiguiente problema de que no es trasparente, hay alguna manera de cambiar las entrada de arp de la victima a la situación original.

    Un saludo y Gracias

    Responder

Replica