ARP-Spoofing Ataque con Ettercap

Como se explico en la presentación previa al taller, cuando nos encontramos trabajando sobre
una red conmutada al tratar de capturar el tráfico con nuestra herramienta Wireshark, solo
vamos a poder capturar el tráfico que tiene como origen y destino a nuestra tarjeta.

Lo anterior puede frustrarnos y llevarnos a pensar en que no estamos haciendo bien las cosas
o que nuestra herramienta simplemente no funciona. Pero si aplicamos un poco de lógica una

posible solución a esto es realizar el ataque de envenenamiento de tablas ARP (ARP-Spoofing).

Para lo cual realizamos lo siguiente:

Atacante->#ifconfig

Nos muestra la configuración de la interfaz de red del atacante

Para ejecutar el ataque necesitamos saber por lo menos la dirección IP de nuestra víctima, en

nuestro entorno seguro basta con ir y mirar la configuración de esta.

Victima->#ifconfig o Victima->ipconfig

Nos muestra la configuración de la interfaz de red de la victima

Victima->#arp –a

Con el comando anterior se nos presentaran los registros de las tablas ARP.

Atacante->#wireshark

Con nuestra herramienta de monitoreo inicializada, comenzamos a hacer la captura del

trafico de la red ya sea usando filtros o no. ¿Qué sucede?

En respuesta a esto procederemos a envenenar las tablas ARP necesarias, como todo el tráfico
que sale o entra a nuestra victima pasa por la puerta de enlace, procederemos a envenenar las
tablas ARP de estas dos maquinas:

Atacante->#ettercap –Tq –M arp /ip_victima1/ /ip_victima2/

Con ettercap envenenamos las tablas ARP de las dos víctimas, en este caso la víctima y la
puerta de enlace.

Parámetros:

-Tq => Indica que lo ejecutamos desde consola pero que no muestre los paquetes capturados.

-M => Tipo de ataque “Hombre en medio”

-Arp => Parámetro del tipo de ataque que indica que se hará arp-spoofing

Una vez se ha lanzado el ataque podemos verificar con el wireshark, que nuestro atacante está
enviando paquetes que mienten acerca de la dirección MAC de las IP involucradas y además ya

aparece el trafico de las otras maquinas.

Ahora vamos a la victima a ver qué cambios hay.

Victima->#arp –a (arp -e)

Verificamos de nuevo la tablas ARP en donde se debe ver que dos IP diferentes tienen la
misma MAC.

De vuelta en el atacante haciendo uso de las herramientas de supervisión y opciones de filtro

que estas nos ofrecen, podemos supervisar el tráfico entre esos dos equipos.

Cuando se desee detener el ataque, en la consola en la que se está ejecutando el ettercap

presionamos la tecla Q, de inmediato este re-envía respuestas de tipo ARP con datos
verdaderos y se termina la ejecución de la aplicación.