VULNERABILIDAD – MESSENGER

ARP SPOOFING - INTERCEPTAR Y MODIFICAR CONVERSACIONES

JOHANA CANO HERNÁNDEZ

GRUPO: 38110

NSTRUCTOR
FERNANDO QUINTERO

CENTRO DE SERVICIOS Y GESTIÓN EMPRESARIAL

ADMINISTRACION DE REDES DE CÓMPUTO
MEDELLÍNSENA
2011
 VULNERABILIDAD – MESSENGER
ARP SPOOFING - INTERCEPTAR Y MODIFICAR CONVERSACIONES

Esta vulnerabilidad esta principalmente basada en la ejecución de un script atacando a la

Aplicación MSN para interceptar y modificar una conversación que se esté planteando entre dos
usuarios independientes, esto vulnera la seguridad de la información que se está transmitiendo a
través de la red, también está violando la CONFIDENCIALIDAD e INTEGRIDAD de cada uno de los
usuarios ya que el atacante se está dando cuenta de lo que cada uno de los mismos escribe y envía
a según los parámetros que se hayan especificado y modifica los datos que se están transmitiendo,
es decir, se cambian los mensajes a la voluntad de la persona maliciosa. Es posible engañar a un
host dentro de una red diciéndole que la dirección MAC con quien se quiere comunicar sea un tercer
host, produciéndose así una redirección del tráfico del host origen al host destino verdadero con el
fin de funcionar transparentemente en la comunicación de ambos y observando todo lo que se dicen.
Este tipo de ataque se conoce como “Hombre en medio” o “Man In The Middle”.

Para esta práctica vamos a utilizar tres maquinas virtuales (dos Windows XP y un Backtrack). Como
primer paso vamos a verificar las direcciones IP de cada una de los equipos.

 WINDOWS XP 1 (VICTIMA 1)
 BACKTRACK (ATACANTE)

 WINDOWS XP (VICTIMA 2)
Estando en la maquina Backtrack vamos a crear un filtro que le diga al programa como encontrar la
palabra que queremos interceptar y como cambiarla. Lugo lo vamos a traducir para que utilice el
filtro propiamente dicho. Vamos a implementar la herramienta del Backtrack Ettercap. La cual nos
permite hacer un Spoofing ARP que es la finalidad de esta vulnerabilidad. Como primer paso vamos
a crear un archivo de texto en el escritorio y lo llamaremos filtrotxt.
Ya creado el archivo, ahora pasamos a abrirlo para anexar la información.
Ahora vamos a empezar a programar el filtro y vamos a editar las siguientes sentencias:

 If (ip.pro == TCP && search(DATA.data, “hola”)): Esto significa que SI el protocolo de IP

es TCP y además si llamo la función búsqueda y le doy los parámetros de DATA.data y
busco dentro de la misma y encuentro la palabra “hola” va a suceder algo.

 {. Replace(“hola” , “chau”);: Abrimos la llave para especificar que si lo anterior se

cumple se va a reemplazar la palabra “hola“ por la palabra “chau”.

 Msg(“cambio realizado :p .\n”);}: Cuando lo anterior se cumpla me lance un mensaje

dentro de la herramienta diciendo cambio realizado mas una carita feliz sacando la lengua,
el salto de línea y se cierra la función con la llave.
Ahora como siguiente paso cerramos para que el archivo guarde lo que hemos configurado.

Nos dirigimos a la consola, estando allí vamos a ejecutar el comando “pwd” para saber en qué
directorio estamos parados, como podemos observar en la siguiente imagen nos encontramos del
root, luego damos el comando “ls” para listar todos los archivos que allí se encuentren; en este
directorio podemos ver el archivo .txt que creamos anteriormente.
Luego vamos a utilizar el comando Etterfilter sin ningún parámetro, como podemos visualizar en la
siguiente imagen nos dice “No source file”, esto quiere decir que no tiene un archivo de origen.

Debemos colocarle un determinado parámetro a este comando para que nos pueda funcionar, en
este caso sería el parámetro del archivo de origen (filtrotxt) y la opción “-o” que significa el archivo
de salida, es decir, luego debemos especificar el nombre del nuevo archivo “filtro.ef” ; ahora
ponemos a correr el comando y nos dice que lo hemos codificado exitosamente.
Ahora vamos a hacer un listado para ver que efectivamente creo el archivo, ahora vamos a copiar el
archivo filtro.ef a la carpeta donde se encuentra el Ettercap que es en /usr/share/ettercap/,
después nos dirigimos a esa ruta para verificar que efectivamente lo hemos copiado correctamente.

Después vamos a ejecutar el comando ettercap que es la herramienta que nos permite hacer
ataques de hombre en el medio y hacer un sniffers (capturar tramas) en la red, esto permite que
todos los paquete le lleguen al atacante o al Man In The Middle para filtrarlos y ejecutar algunas
operaciones mediante el script que hemos hecho (filtro.ef). Al usar este comando debemos
especificar algunas opciones, entre las cuales se encuentran:

 -T: Esta opción es para que sea modo texto.

 -q: Esta se utiliza para que sea modo silencioso.
 -p: Esta opción es utilizada para el modo promiscuo, es decir cuando un computador
conectado a la red captura todo el tráfico que circula por la misma.
 -F: Esta opción es utilizada para especificar el filtro.
 -M: Esto significa que estamos haciendo un ataque de tipo Man In The Middle (Hombre en
medio).
 ARP-remote: Este es el modo en el que se va hacer el ataque, es de forma remota.
 //: Significa la separación o la finalidad de los parámetros.
 /192.168.1.65: Con esto estamos especificando la dirección IP de la victima (Windows XP
victima 1)/. Por último damos ENTER para lanzar el ataque.
A continuación podemos observar que efectivamente nos ha funcionado, el porcentaje que vemos
allí es la fase del scaneo, este verifica cuantos host o cuantas maquinas tiene la red que este caso
ha escaneado cuatro y empezar a hacer en envenenamiento ARP (ARP SPOOFING).
Ahora, como siguiente paso nos dirigimos a las maquina Windows para abrir las sesiones en el
Messenger, en este caso vamos a utilizar dos usuarios llamados Johana y Felipe; en el equipo
192.168.1.65 vamos a iniciar la sesión de Johana y en el equipo 192.168.1.67 iniciaremos la sesión
de Felipe como podemos observar en las siguiente dos imágenes.

WINDOWS XP (Victima 1) – 192.168.1.65

WINDOWS XP (Victima 2) – 192.168.1.67

Como siguiente paso vamos a iniciar una conversación entre los dos usuarios, para este caso el
usuario Johana va a iniciar la conversación diciendo las letras “aaaaaa”, inmediatamente el usuario
Felipe recibe el mensaje, este mismo le escribe las letras “bbbbbb”; con esto estamos demostrando
que efectivamente los mensajes están llegando bien.
Ahora Felipe le responde a Johana “Hola que tal ” y esta misma le escribe “Hola como estas?”.
Con esto estamos verificando con mensajes coherentes que la conversación está llegando
correctamente.
Ahora como siguiente paso vamos el usuario Felipe le dice nuevamente a Johana “hola Johana”, y
como podemos observar en las siguientes dos imágenes efectivamente está funcionando el ataque,
la palabra “hola” fue reemplazada por la palabra “chau”. Esto se debe al mensaje interceptado que
realizamos en el Backtrack, el Ettercap está recibiendo todos los ataques y los intercambia con el
script que hemos puesto en el Etterfilter. El usuario Johana recibe un mensaje falso que es chau
Johana en vez de recibir el mensaje original que es hola johana y viceversa.
Ahora haremos la prueba del usuario Johana hacia el usuario Felipe.
Este ataque funciona para los dos usuarios ya que le hemos puesto el –M “Man In The Middle”, en
este caso es FULL-DUPLEX (enviar y recibir mensajes de forma simultánea).

Ahora nos vamos a dirigirnos al equipo Backtrack en donde podemos visualizar el mensaje que
habíamos puesto en el filtro para que apareciera cada vez que los cambios en la conversación se
hayan realizado “cambio realizado :p”.

NOTA: Es importante tener en cuenta que el script que hemos realizado solo va a funcionar si el
usuario escribe el mensaje en letras minúsculas, si las escribe en letras mayúsculas no va a
funcionar porque no tienen el mismo valor y esto es traducido a códigos ASCCII; Es por ello que si
queremos que este script funcione de las dos maneras debemos configurar nuevamente y poner la
palabras tanto en mayúsculas como en minúsculas.

Veamos en la siguiente imagen como vamos a probar con mayúsculas y minúsculas un mensaje y
efectivamente únicamente obedece al script de las que están en minúscula por que la que tiene
mayúscula no cumple con la función.
Nuevamente aparece en el Backtrack loa cambios realizados que es la otra instrucción que le
pusimos al script y que nos informa que todo está funcionando correctamente.

 IMPORTANTE: Este ataque puede ser implementado para modificar y tener conocimiento
de todos los mensajes que intercambian varios usuarios, para este caso se configuró
únicamente las palabra “hola”, pero efectivamente podemos configurar el script en el que
especifiquemos lo que se quiere modificar o lo que queremos que reciba cada uno de los
usuarios participantes.