ARP Spoofing - Packet

Sniffing

Danert Jessica - Quipildor Jos - Sarverry Bruno

Comisin: 4K2
 Tcnica hacking MITM para
infiltrarse en la red con distintos
objetivos:

husmear los paquetes de datos

ARP Spoofing
(Packet Sniffing)
reenviar/modificar/detener
trfico, ataques DDoS
Envenenamiento de Tabla ARP
usos legtimos, por ej. la
redundancia en la red
Repaso Conceptual
Capa 3 - Modelo OSI - Protocolo IP:
ARP - Protocolo de Resolucin de
Direcciones

Es la resolucin de direcciones IP a direcciones

MAC. Estos mapeos de direcciones son
almacenados en una cach para referencias
futuras, donde cada host posee su tabla ARP
correspondiente. Existen 2 tipos de entrada:

Dinmicas: temporales - respuestas ARP

Estticas: tiempo indefinido - manual
Modus operandi
Consiste en inundar la red con paquetes ARP indicando que:

El host atacante es la MAC asociada a la IP de la vctima;

La MAC del host atacante est tambin asociada a la IP del router
(gateway/puerta de enlace) de la red.

Todas las mquinas actualizan sus tablas con esta nueva informacin maliciosa.

As cada vez que alguien quiera enviar un paquete a travs del router, ese
paquete no ser recogido por el router, sino por el atacante ya que se dirige a su
direccin MAC; y cada vez que el router u otra mquina enve un paquete a
nuestra vctima tambin suceder lo mismo.
Ataque man-in-the-middle
En la prctica
1. Gnu/Linux - Ubuntu o derivados
2. Instalar nmap, dsniff, wireshark: % sudo apt-get install nmap dsniff wireshark
3. Descubrir IP del host vctima:
% nmaP --iflist

% nmap <nombre_red> -sP

4. Avisar al kernel que el trfico fluir por el ordenador:

% echo 1 > /proc/sys/net/ipv4/ip_forward

5. Infectar (en distintas sesiones de consolas):

% arpspoof -i <interface> -t <ip_victima> <ip_gateway>
 Es la captura de tramas en una red
de computadoras con diversos
Packet Sniffing objetivos:

Monitoreo de redes
Olfatear paquetes en el trfico Fines maliciosos
Wireshark - Analizador de Paquetes
Antes conocido como Ethereal, es un analizador de protocolos utilizado para
realizar anlisis y solucionar problemas en redes de comunicaciones, para
desarrollo de software y protocolos, y como una herramienta didctica.

Cuenta con todas las caractersticas estndar de un analizador de protocolos de

forma nicamente hueca.
Defensas
Prevensin
Tablas ARP estticas
DHCP snooping
Deteccin
Arpwatch - escuchador de respuestas ARP
Comprobar la existencia de direcciones MAC clonadas % arp
Ejecutando un Sniffer (Wireshark)
Tablas ARP Estticas
En Linux: En Windows:

Opcin 1: (se borra al reiniciar) En cmd.exe colocar:

% arp -s <ip_host> <mac_address_host*> > netsh interface ip show config

Opcin 2: (NO se borra al reiniciar) Determinar el nombre de la conexin/interface

Crear fichero con pares: <ip> <mac> Introducir:

Modificar /etc/network/interfaces en la ltima lnea: > netsh interface ipv4 add neighbors <nombre_de_la_
conexin> <ip_host> <mac_address_host**>
% post-up /usr/sbin/arp -f <ruta_del_fichero>

*MAC Linux: 32:e3:4f:fa:b3:d6 **MAC Windows: 32-e3-4f-fa-b3-d6