Informatica
Páginas: 13 (3121 palabras)
Publicado: 26 de enero de 2015
PRACTICAS DE ATAQUES DE HACKING PARA AUDITORIA
Ataque MITM con Ettercap y Wireshark
Ahora aplicaremos los conceptos que revisamos acerca del uso de sniffers para realizar un ataque de hombre en el medio en una red switcheada y capturar tráfico sensible.
Nota: Para la ejecución de los laboratorios se requieren al menos 3 PC’s, 2 PC’s víctimas (para este ejemplo usaremos los sistemasWindows como víctimas) y 1 PC hacker con Backtrack/Kali Linux.
1. Habilitar IP forwarding. Se debe configurar el envío de paquetes, para que si la interfaz recibe paquetes que no estén destinados a ella, los reenvíe de todas formas, es decir que trabaje como ruteador (dado que el ataque va a ser de tipo “Hombre en el Medio” no queremos detener el flujo de datos):
# echo 1 >/proc/sys/net/ipv4/ip_forward
1. Iniciar Ettercap. Dependiendo de la versión de Linux, deberemos buscar el menú adecuado (usualmente Husmeando/Envenenado - > Enveneamiento de redes) y ejecutar la interfaz gráfica de Ettercap (ettercap-graphical).
2. Una vez en ettercap seleccionaremos el menú Sniff > Unified sniffing y escogeremos la interfaz de red que vamos a poner en modo monitor (en este ejemploeth1).
3. Una vez realizado este paso observaremos que en el menú aparecen opciones adicionales. Escogeremos estos submenús:
Hosts > Host lists, View > Connections, View > Profiles, View > Statistics .
4. La información que recolectemos nos servirá después para el ataque. Ahora iniciaremos el Sniffing a través del menú: Start > Start Sniffing. A partir de este momento deberemos capturarpaquetes, pero comprobaremos que son de tipo Broadcast más el tráfico que nosotros mismos generamos, esto es normal puesto que aún no hemos realizado ningún ataque. Para acelerar el proceso de descubrimiento procederemos a escanear los hosts de la red desde el menú: Hosts > Scan for Hosts.
1. Ahora deberemos generar tráfico desde las estaciones víctimas. Podríamos por ejemplo levantar unservicio de FTP server en uno de los dos equipos y conectarnos con un cliente FTP desde la otra estación. También podemos navegar en Internet, hacer ping entre ambas máquinas, etc. Descargaremos la versión de prueba de la aplicación Lite Serve, el cual incluye servidor Web, FTP, SMTP y Telnet.
2. Realizado el reconocimiento inicial deberemos revisar en la pantalla de Ettercap la informaciónrecolectada en los perfiles. Ahí encontraremos las máquinas que nos interesan y escogeremos las dos víctimas para nuestro ataque MITM (observe la Figura 166).
Figura 166 - Perfiles recolectados con ettercap
1. Procederemos ahora a realizar el ataque de suplantación ARP, también conocido como ARP poisoning. A estas alturas nuestra lista de hosts (Host List) deberá estar poblada y contener lasdirecciones IP y MAC de los equipos descubiertos.
2. Escogeremos como víctimas a los hosts Windows. Esto se hace desde la lista de hosts (Host List), seleccionamos la IP del primer host y damos click sobre el botón Add to Target 1 y de forma similar con el segundo host.
3. En este momento ya podemos realizar el ARP spoofing. Para ello escogemos el menú MITM -> ARP Poisoning ychequeamos la opción Sniff Remote Connections (ver Figura 167). Al revisar la viñeta Connections deberemos ver que ya se está capturando tráfico de las víctimas.
Figura 167 - ARP poisoning con ettercap
1. Sin embargo, la interfaz de Ettercap no se caracteriza por ser amigable para realizar análisis de tráfico. Por lo tanto, dejaremos abierta la ventana de Ettercap y procederemos a ejecutarparalelamente la herramienta Wireshark.
2. Ejecutaremos ahora Wireshark y escogeremos el menú: Capture > Interfaces. En este submenú seleccionamos la interfaz de red apropiada y damos click sobre el botón Start.
3. Podemos capturar todo el tráfico o aplicar filtros para ver sólo el tráfico que nos interesa. Por ejemplo para ver sólo el tráfico web usamos el filtro tcp.port == 80,...
Ataque MITM con Ettercap y Wireshark
Ahora aplicaremos los conceptos que revisamos acerca del uso de sniffers para realizar un ataque de hombre en el medio en una red switcheada y capturar tráfico sensible.
Nota: Para la ejecución de los laboratorios se requieren al menos 3 PC’s, 2 PC’s víctimas (para este ejemplo usaremos los sistemasWindows como víctimas) y 1 PC hacker con Backtrack/Kali Linux.
1. Habilitar IP forwarding. Se debe configurar el envío de paquetes, para que si la interfaz recibe paquetes que no estén destinados a ella, los reenvíe de todas formas, es decir que trabaje como ruteador (dado que el ataque va a ser de tipo “Hombre en el Medio” no queremos detener el flujo de datos):
# echo 1 >/proc/sys/net/ipv4/ip_forward
1. Iniciar Ettercap. Dependiendo de la versión de Linux, deberemos buscar el menú adecuado (usualmente Husmeando/Envenenado - > Enveneamiento de redes) y ejecutar la interfaz gráfica de Ettercap (ettercap-graphical).
2. Una vez en ettercap seleccionaremos el menú Sniff > Unified sniffing y escogeremos la interfaz de red que vamos a poner en modo monitor (en este ejemploeth1).
3. Una vez realizado este paso observaremos que en el menú aparecen opciones adicionales. Escogeremos estos submenús:
Hosts > Host lists, View > Connections, View > Profiles, View > Statistics .
4. La información que recolectemos nos servirá después para el ataque. Ahora iniciaremos el Sniffing a través del menú: Start > Start Sniffing. A partir de este momento deberemos capturarpaquetes, pero comprobaremos que son de tipo Broadcast más el tráfico que nosotros mismos generamos, esto es normal puesto que aún no hemos realizado ningún ataque. Para acelerar el proceso de descubrimiento procederemos a escanear los hosts de la red desde el menú: Hosts > Scan for Hosts.
1. Ahora deberemos generar tráfico desde las estaciones víctimas. Podríamos por ejemplo levantar unservicio de FTP server en uno de los dos equipos y conectarnos con un cliente FTP desde la otra estación. También podemos navegar en Internet, hacer ping entre ambas máquinas, etc. Descargaremos la versión de prueba de la aplicación Lite Serve, el cual incluye servidor Web, FTP, SMTP y Telnet.
2. Realizado el reconocimiento inicial deberemos revisar en la pantalla de Ettercap la informaciónrecolectada en los perfiles. Ahí encontraremos las máquinas que nos interesan y escogeremos las dos víctimas para nuestro ataque MITM (observe la Figura 166).
Figura 166 - Perfiles recolectados con ettercap
1. Procederemos ahora a realizar el ataque de suplantación ARP, también conocido como ARP poisoning. A estas alturas nuestra lista de hosts (Host List) deberá estar poblada y contener lasdirecciones IP y MAC de los equipos descubiertos.
2. Escogeremos como víctimas a los hosts Windows. Esto se hace desde la lista de hosts (Host List), seleccionamos la IP del primer host y damos click sobre el botón Add to Target 1 y de forma similar con el segundo host.
3. En este momento ya podemos realizar el ARP spoofing. Para ello escogemos el menú MITM -> ARP Poisoning ychequeamos la opción Sniff Remote Connections (ver Figura 167). Al revisar la viñeta Connections deberemos ver que ya se está capturando tráfico de las víctimas.
Figura 167 - ARP poisoning con ettercap
1. Sin embargo, la interfaz de Ettercap no se caracteriza por ser amigable para realizar análisis de tráfico. Por lo tanto, dejaremos abierta la ventana de Ettercap y procederemos a ejecutarparalelamente la herramienta Wireshark.
2. Ejecutaremos ahora Wireshark y escogeremos el menú: Capture > Interfaces. En este submenú seleccionamos la interfaz de red apropiada y damos click sobre el botón Start.
3. Podemos capturar todo el tráfico o aplicar filtros para ver sólo el tráfico que nos interesa. Por ejemplo para ver sólo el tráfico web usamos el filtro tcp.port == 80,...
Leer documento completo
Regístrate para leer el documento completo.