LinuxParty
Los dos primeros artículos de la serie sobre Wireshark, que aparecieron en los números de OSFY de julio y agosto de 2014, cubrieron algunos protocolos simples y varios métodos para capturar el tráfico en un entorno "conmutado". Este artículo describe un ataque llamado suplantación ARP y explica cómo se puede usar Wireshark para capturarlo.
Imagine una vieja película hindi donde el villano y su subordinado conversan por teléfono, y el héroe intercepta esta llamada para escuchar su conversación: un escenario perfecto de "hombre en el medio" (MITM). Ahora extiéndalo a la red, donde un atacante intercepta la comunicación entre dos computadoras.
Aquí hay dos posibilidades con respecto a lo que un atacante puede hacer para interceptar el tráfico:
1. Ataques pasivos (también llamados escuchas ilegales o que solo escuchan el tráfico): estos pueden revelar información confidencial como, por ejemplo, texto de acceso claro (sin cifrar), ID de inicio de sesión y contraseñas.
2. Ataques activos: modifican el tráfico y se pueden usar para varios tipos de ataques como repetición, suplantación de identidad, etc.
Se puede lanzar un ataque MITM contra sistemas criptográficos, redes, etc. En este artículo, limitaremos nuestras discusiones a los ataques MITM que utilizan la suplantación ARP.
Falsificación ARP (ARP Spoofing)
Joseph Goebbels, ministro de propaganda de la Alemania nazi, dijo: "Si dices una mentira lo suficientemente grande y la repites, la gente eventualmente llegará a creerlo. La mentira se puede mantener solo durante el tiempo en que el estado pueda proteger a las personas de las consecuencias políticas, económicas y / o militares de la mentira. Por lo tanto, se vuelve de vital importancia para el estado utilizar todos sus poderes para reprimir la disidencia, ya que la verdad es el enemigo mortal de la mentira, y por tanto, la verdad es el mayor enemigo del estado ".
Entonces, interpretemos esta cita de un líder del infame régimen nazi desde la perspectiva del protocolo ARP: si le dice repetidamente a un dispositivo a quién pertenece una dirección MAC en particular, el dispositivo eventualmente le creerá, incluso si esto no es cierto. Además, el dispositivo recordará esta dirección MAC solo mientras se lo diga al dispositivo. Por lo tanto, no proteger un caché ARP es peligroso para la seguridad de la red.
Nota: Desde el punto de vista del profesional de la seguridad de la red, es absolutamente necesario monitorear el tráfico ARP continuamente y limitarlo a un umbral. Muchos conmutadores y enrutadores administrados pueden configurarse para monitorear y controlar el tráfico ARP por debajo de un umbral.
Un ataque MITM es fácil de entender usando este contexto. Los atacantes que intentan escuchar el tráfico entre dos dispositivos cualquiera, por ejemplo, el sistema informático de una víctima y un enrutador, lanzarán un ataque de suplantación ARP enviando mensajes no solicitados (lo que significa que se envía un paquete de respuesta ARP sin recibir una solicitud ARP) paquetes de respuesta ARP con las siguientes direcciones de origen:
- Hacia el sistema informático de la víctima: dirección IP del enrutador y dirección MAC de la PC del atacante;
- Hacia el enrutador: la dirección IP de la computadora de la víctima y la dirección MAC de la PC del atacante.
Después de recibir dichos paquetes continuamente, debido a las características del protocolo ARP, la memoria caché ARP del enrutador y la PC de la víctima se envenenarán de la siguiente manera:
- Enrutador: la dirección MAC de la PC del atacante registrada contra la dirección IP de la víctima;
- PC de la víctima: la dirección MAC de la PC del atacante registrada contra la dirección IP del enrutador.
La herramienta Ettercap
La simulación de ARP es el tipo más común de ataque MITM y se puede iniciar con la herramienta Ettercap disponible en Linux (http://ettercap.github.io/ettercap/downloads.html) . Algunos sitios afirman tener ejecutables de Windows. Aunque nunca los he probado. Puede instalar la herramienta en cualquier distribución de Linux, o usar distribuciones como Kali Linux, que lo tiene incluido.
La herramienta tiene opciones de línea de comandos, pero su GUI es más fácil y puede iniciarse utilizando:
ettercap -G
|
Figura 1: Menús Ettercap
Figura 2: Envenenamiento ARP exitoso
Inicie el ataque de suplantación MITM ARP utilizando los menús de Ettercap (Figura 1) en la siguiente secuencia (las palabras en cursiva indican los menús de Ettercap):
- Sniff es un sniffing unificado y selecciona la interfaz a ser rastreada (por ejemplo, eth0 para una red cableada).
- Hosts escanea en busca de hosts. Busca todas las direcciones IP activas en la red eth0 .
- La lista de hosts muestra la lista de hosts escaneados.
- Los hosts requeridos se agregan a Target1 y Target2. Se realizará un ataque de suplantación ARP para leer el tráfico entre todos los hosts seleccionados en Target1 y Target2.
- Objetivos da los objetivos actuales. Verifica la selección de los objetivos correctos.
- MITM - Intoxicación ARP: 'Detectar conexiones remotas' iniciará el ataque.
El éxito del ataque se puede confirmar de la siguiente manera: - En el enrutador, verifique el caché ARP (para un enrutador CISCO, el comando es show ip arp ).
- En la PC víctima, use el comando ARP -a. La Figura 2 muestra el resultado del comando antes y después de un ataque de suplantación ARP exitoso.
Figura 3: Captura de Wireshark en los paquetes PC-ARP del atacante
Figura 4: Captura de Wireshark en los paquetes Attacker PC Sniffed de Victim PC y Router
El PC atacante captura el tráfico utilizando Wireshark para verificar las respuestas ARP no solicitadas. Una vez que el ataque sea exitoso, el tráfico entre dos objetivos también será capturado. Tenga cuidado: si el tráfico de la PC de la víctima contiene paquetes de autenticación de texto claro, las credenciales podrían ser reveladas.
Tenga en cuenta que Wireshark proporciona información como 'Se detecta el uso duplicado de IP' en la columna 'Información' una vez que el ataque tiene éxito.
Aquí es cómo el paquete real viaja y se captura después de un ataque de envenenamiento ARP exitoso:
- Cuando el paquete de la PC víctima se inicia para el enrutador, en la Capa 2, la dirección MAC envenenada del atacante (en lugar del enrutador MAC original) se inserta como el MAC de destino; así el paquete llega al PC del atacante.
- El atacante ve este paquete y lo envía al enrutador con la dirección MAC correcta.
- La respuesta del enrutador se envía lógicamente hacia la dirección MAC de destino falsificada del sistema del atacante (en lugar de la PC de la víctima). Es capturado y enviado por el atacante a la PC de la víctima.
- Mientras tanto, el software de rastreo, Wireshark, que se ejecuta en la PC del atacante, lee este tráfico.
Aquí hay varias formas de prevenir los ataques de falsificación ARP: - Monitorea los registros de 'arpwatch' en Linux
- Use los comandos ARP estáticos en Windows y Ubuntu de la siguiente manera:
- Windows: arp-s DeviceIP DeviceMAC
- Ubuntu: arp -i eth0 -s DeviceIP DeviceMAC
- Controlar paquetes ARP en switches gestionados
Figura 5: Filtro de captura de Wireshark
¿Se puede dar un uso fructífero a la falsificación MITM ARP?
¡Seguro! Considere la posibilidad de capturar paquetes de un sistema sospechoso de infección de malware (virus) en un entorno conmutado. Hay dos formas de hacer esto: use una intervención telefónica o MITM ARP spoofing. A veces, es posible que no tenga una escucha telefónica a mano o que no desee que el sistema se desconecte incluso durante el tiempo necesario para conectar la conexión. Aquí, la falsificación de MITM ARP definitivamente servirá para este propósito.
Nota: este ataque está dirigido específicamente hacia la capa 2 de OSI, una capa de enlace de datos; por lo tanto, puede ejecutarse solo desde dentro de su red. Tenga la seguridad de que este ataque no se puede usar sentado fuera de la red local para detectar paquetes entre su computadora y el servidor web de su banco; el atacante debe estar dentro de la red local.
Antes de concluir, entendamos una característica importante de Wireshark llamada filtros de captura.
Hicimos lo básico de los filtros de visualización en el artículo anterior. Pero, en una red ocupada, la captura de todo el tráfico y el uso de filtros de visualización para ver solo el tráfico deseado puede requerir mucho esfuerzo. Los filtros de captura de Wireshark proporcionan una salida.
Al principio, antes de seleccionar la interfaz, puede hacer clic en Opciones de captura y usar los filtros de captura para capturar solo el tráfico deseado. Haga clic en el botón Filtro de captura para ver varios filtros, como ARP , No ARP, solo TCP , solo UDP , tráfico de direcciones IP específicas, etc. Seleccione el filtro deseado y Wireshark capturará solo el tráfico definido.
Por ejemplo, la suplantación ARP de MITM se puede capturar utilizando el filtro ARP de los filtros de captura en lugar de 'Mostrar filtrado' todo el tráfico capturado.
¡Vigila esta columna para ver las emocionantes funciones de Wireshark!
-
Seguridad
- Drones, vigilancia y reconocimiento facial: una startup llamada 'Sauron' presenta un sistema de seguridad para el hogar de estilo militar
- Conexión Segura NFS en Linux, Tunelizar NFS sobre SSH y Configuración de NFS sobre SSH para Mayor Seguridad
- ¿Olvidó su contraseña? Cinco razones por las que necesita un administrador de contraseñas
- Cómo limitar las conexiones SSH (puerto TCP 22) con ufw en Ubuntu Linux
- Utilizar ssh sin contraseña con ssh-keygen y ssh-copy-id
- Millones de teléfonos móviles podrían ser vulnerables a la vigilancia del gobierno chino
- Cómo limitar las conexiones SSH a la red local en Linux
- Los televisores inteligentes son como un «caballo de Troya digital» en los hogares
- Snort para Windows, detección de Intrusos y seguridad.
- Detección de Intrusiones con las herramientas: BASE y Snort.
- El Sistema de Detección de Intrusos: Snort. ( Windows y Linux )
- Configuración con Ejemplos de Snort para Windows, detección de intrusiones
- ¿El gobierno de EE. UU. ignoró la oportunidad de hacer que TikTok fuera más seguro?
- ¿Qué es SSH y cómo se utiliza? Los conceptos básicos de Secure Shell que necesitas saber
- Asegurar memcached del servidor, para evitar amplificar ataques DDoS