Hacking ético: envenenamiento ARP

El Protocolo de resolución de direcciones (ARP) es un protocolo sin estado que se utiliza para resolver direcciones IP en direcciones MAC de máquinas. Todos los dispositivos de red que necesitan comunicarse en la red transmiten consultas ARP en el sistema para encontrar las direcciones MAC de otras máquinas. El envenenamiento por ARP también se conoce comoARP Spoofing.

Así es como funciona ARP:

  • Cuando una máquina necesita comunicarse con otra, busca su tabla ARP.

  • Si la dirección MAC no se encuentra en la tabla, la ARP_request se emite a través de la red.

  • Todas las máquinas de la red compararán esta dirección IP con la dirección MAC.

  • Si una de las máquinas de la red identifica esta dirección, responderá a la ARP_request con su dirección IP y MAC.

  • La computadora solicitante almacenará el par de direcciones en su tabla ARP y se llevará a cabo la comunicación.

¿Qué es ARP Spoofing?

Los paquetes ARP se pueden falsificar para enviar datos a la máquina del atacante.

  • La suplantación de ARP construye una gran cantidad de solicitudes ARP falsificadas y paquetes de respuesta para sobrecargar el conmutador.

  • El interruptor está en forwarding mode y despues del ARP table está inundado de respuestas ARP falsificadas, los atacantes pueden rastrear todos los paquetes de red.

Los atacantes inundan la caché ARP de una computadora de destino con entradas falsificadas, que también se conoce como poisoning. El envenenamiento de ARP utiliza el acceso de intermediario para envenenar la red.

¿Qué es MITM?

El ataque Man-in-the-Middle (abreviado MITM, MitM, MIM, MiM, MITMA) implica un ataque activo donde el adversario se hace pasar por el usuario creando una conexión entre las víctimas y envía mensajes entre ellas. En este caso, las víctimas piensan que se están comunicando entre sí, pero en realidad, el actor malintencionado controla la comunicación.

Existe una tercera persona para controlar y monitorear el tráfico de comunicación entre dos partes. Algunos protocolos comoSSL sirven para prevenir este tipo de ataques.

Envenenamiento por ARP - Ejercicio

En este ejercicio, hemos utilizado BetterCAP para realizar el envenenamiento de ARP en el entorno LAN utilizando la estación de trabajo VMware en la que hemos instalado Kali Linux y Ettercap herramienta para olfatear el tráfico local en LAN.

Para este ejercicio, necesitará las siguientes herramientas:

  • VMware Estación de trabajo
  • Sistema operativo Kali Linux o Linux
  • Herramienta Ettercap
  • coneccion LAN

Note- Este ataque es posible en redes cableadas e inalámbricas. Puede realizar este ataque en la LAN local.

Step 1 - Instale la estación de trabajo VMware e instale el sistema operativo Kali Linux.

Step 2 - Inicie sesión en Kali Linux utilizando el nombre de usuario "root, toor".

Step 3 - Asegúrese de estar conectado a la LAN local y verifique la dirección IP escribiendo el comando ifconfig en la terminal.

Step 4 - Abra la terminal y escriba “Ettercap –G” para iniciar la versión gráfica de Ettercap.

Step 5- Ahora haga clic en la pestaña "sniff" en la barra de menú y seleccione "sniffing unificado" y haga clic en Aceptar para seleccionar la interfaz. Vamos a utilizar "eth0" que significa conexión Ethernet.

Step 6- Ahora haga clic en la pestaña "hosts" en la barra de menú y haga clic en "buscar hosts". Comenzará a escanear toda la red en busca de hosts activos.

Step 7- A continuación, haga clic en la pestaña "hosts" y seleccione "lista de hosts" para ver la cantidad de hosts disponibles en la red. Esta lista también incluye la dirección de la puerta de enlace predeterminada. Tenemos que tener cuidado cuando seleccionamos los objetivos.

Step 8- Ahora tenemos que elegir los objetivos. En MITM, nuestro objetivo es la máquina host y la ruta será la dirección del enrutador para reenviar el tráfico. En un ataque MITM, el atacante intercepta la red y detecta los paquetes. Por lo tanto, agregaremos la víctima como "objetivo 1" y la dirección del enrutador como "objetivo 2".

En el entorno de VMware, la puerta de enlace predeterminada siempre terminará con "2" porque "1" está asignado a la máquina física.

Step 9- En este escenario, nuestro objetivo es "192.168.121.129" y el enrutador es "192.168.121.2". Entonces agregaremos el objetivo 1 comovictim IP y el objetivo 2 como router IP.

Step 10- Ahora haga clic en "MITM" y haga clic en "Envenenamiento por ARP". A continuación, marque la opción "Detectar conexiones remotas" y haga clic en Aceptar.

Step 11- Haga clic en "iniciar" y seleccione "empezar a olfatear". Esto iniciará el envenenamiento de ARP en la red, lo que significa que hemos habilitado nuestra tarjeta de red en "modo promiscuo" y ahora se puede rastrear el tráfico local.

Note - Solo hemos permitido el rastreo de HTTP con Ettercap, por lo que no espere que los paquetes HTTPS se rastreen con este proceso.

Step 12- Ahora es el momento de ver los resultados; si nuestra víctima inició sesión en algunos sitios web. Puedes ver los resultados en la barra de herramientas de Ettercap.

Así es como funciona el olfateo. Debe haber entendido lo fácil que es obtener las credenciales HTTP simplemente habilitando el envenenamiento ARP.

El envenenamiento por ARP tiene el potencial de causar grandes pérdidas en los entornos de las empresas. Este es el lugar donde se designa a los piratas informáticos éticos para proteger las redes.

Al igual que el envenenamiento de ARP, existen otros ataques, como inundación de MAC, suplantación de MAC, envenenamiento de DNS, envenenamiento de ICMP, etc., que pueden causar pérdidas significativas en una red.

En el próximo capítulo, discutiremos otro tipo de ataque conocido como DNS poisoning.