ACTIVIDAD 3

ATAQUES HOMBRE EN EL MEDIO

CARLOS ALFONSO RODRIGUEZ

DEIBER ESMILER LIEVANO

DUVAN STIVEN PAEZ TAPIAS

SENA

CENTRO ELECTRICIDAD ELECTRONICA Y TELECOMUNICACIONES

GRUPO 5

2015

Tipos de ataque Trashing (Cartoneo)

Es un tipo de ataque con el cual los usuarios anotan y dejan sus login y password en un papelito con el fin de recordar este proceso .Este procedimiento por más inocente que parezca es el que puede aprovechar un atacante para hacerse de una llave para entrar o acceder al sistema.

Shoulder Surfing

Consiste en espiar físicamente a los usuarios para acceder al login y password correspondiente de cada usuario. El surfing explota el error de los usuarios de dejar anotadas cerca de la pc

Scanning: Este método descubre canales de comunicación susceptible o vulnerable para ser exploradas. También se utilizan para el escaneo de puertos como lo es TCP/UDP

Snooping–Downloading: es el objetivo de obtener información sin modificación alguna, ya que intercepta la red realizando el procedimiento como hombre en el medio la diferencia es que hace un análisis exhaustivo de la misma.

Denial of service : Es el funcionamiento de denegaciones de servicios desorganizando la información del sistema vulnerable , como objetivo es saturar los recursos de la victima.

Jamming o Flooding: Este ataque saturan y descativan los recursos de la computadora a vulnerar o atacar un ejemplo de esta es congestionar con muchos paquetes enviados a los recursos de la máquina.

Connection Flood: Acceder desde la congestión de simultaneidad de conexiones que se ha hecho desde la topología. Así la saturación de conexiones son múltiples y monopoliza la capacidad del servidor.

ATAQUE HOMBRE EN EL MEDIO

Es el tipo de atacante que vulnera y accede a la red con su único y exclusivo fin es robar información. Siendo capaz de leer, insertar y modificar a voluntad todos los mensajes y/o contraseñas. El atacante busca la no mitigación entre dos víctimas.

ATAQUE ARP

El ataque ARP es un protocolo en la capa 2 (enlace)

Este ataque consiste en que el atacante viene a modifcar el flujo de los datos enviados desde un Pc victima que pasa a través de un Gateway para hacer un ataque de MITM consiguiendo que el tráfico de la victima pase por una maquina atacante de esta forma el flujo de tráfico de la victima pasa por el atacante y el atacante puede modificarla y copiar la información para que él pueda modifícala a su conveniencia

En esta Topología vamos a realizar un ataque ARP por envenenamiento, el ataque lo vamos a realizar con Kali Linux, la victima va a ser el “XP Ataque”, vamos a engañarlo para que crea que el atacante es la puerta de enlace “R1”.

De esta manera el atacante queda como MITM hombre en el medio, así podrá capturar paquetes que van desde la puerta de enlace, la víctima y viceversa.

El primer paso será abrir el Ettercap

Ettercap es una herramienta con las siguientes caracterisiticas.

Inyección de caracteres en una conexión establecida emulando comandos o respuestas mientras la conexión está activa.

Compatibilidad con SSH1: puede interceptar users y passwords incluso en conexiones "seguras" con SSH.

Compatibilidad con HTTPS: intercepta conexiones mediante http SSL (supuestamente seguras) incluso si se establecen a través de un proxy.

Intercepta tráfico remoto mediante un túnel GRE: si la conexión se establece mediante un túnel GRE con un router Cisco, puede interceptarla y crear un ataque "Man in the Middle".

"Man in the Middle" contra túneles PPTP (Point-to-Point Tunneling Protocol).

Para empezar el ataque vamos a la opción Sniff.

Seleccionamos la opción Unified Sniffing. Esta opción permite empezar un monitoreo de la red.

Ahora seleccionamos la interfaz por donde vamos a monitorear, escanear y realizar el ataque.

Buno ahora ejecutamos el comando ARP –A en la maquina victima para revisar las tablas ARP, vemos que la dirección MAC de la puerta de enlace es ca-02-13-e0-00-00 y también vemos que la dirección MAC del atacante es 08-00-27-45-94-8f esta es la tabla previa al ataque.

En este paso realizamos un escaneo de todos los host que están en la red.

En la parte inferior vemos que ha encontrados 2 host.

Ahora vamos a ver la lista de host encontrados.

Aquí vemos la dirección IP y MAC de todos los Host encontrados, en este caso encontramos la puerta de enlace, y la víctima.

Agregamos la puerta de enlace, al objetivo 1.

Y la victima al objetivo 2.

Ahora seleccionamos el tipo de atque.

En este caso un envenenamiento ARP

Seleccionamos que monitoree las conexiones remotas

Ahora seleccionamos start Sniffing es decir empezar el ataque

Vemos que en la parte inferior muestra que está realizando el ataque

Ahora podemos observar que el ataque a sido efectivo esto es evidente en la imagen anterior ya que podemos observar que ha sido suplantada la dirección MAC de la puerta de enlace.

Ahora ejecutamos el programa Wireshark para capturar los paquetes.

Vemos que el atacante envía miles de paquetes ARP a las dos víctimas para suplantar la dirección MAC y asi redirigir los paquetes al atacante capturarlos y enviarlos a al destino original.

Vamos a comprobar esto haciendo un ping a la puerta de enlace.

Ahora vemos que el atacante está capturando los paquetes, con destino la puerta de enlace, que se originó en la maquina victima.

Ahora hacemos un ping en el sentido contrario.

Vemos que también captura los paquetes.

AHORA VAMOS A VER ESTE MISMO ATAQUE DE OTRA FORMA, POR LÍNEA DE COMANDOS.

Vamos a utilizar la misma topología y vamos hacer el ataque de la misma forma si no que el método es distinto en este caso por línea de comando.

El primer paso es configurar que cuando recibe un paquete lo reenvié al destino original

con este comando empezar a inyectar paquetes a la dirección de la victima

vemos que la maquina victima todavía no se ha suplantado la dirección MAC del atacante

ahora aplicamos el ataque para la puerta de enlace

ahora observamos que la tabla de direcciones MAC se ha cambiado por la dirección mac del atacante

ahora enviamos un ping del router a la maquina virtual victima

podemos observar que la maquina atacante captura los paquetes del router y la maquina victima

vemos que la maquina victima esta recibiendo los paquetes de esta forma no sospecha el ataque

COMO EVITAR UN ATAQUE ARP

Una forma de evitar un ataque ARP es configurando de forma manual las tablas ARP, en los equipos más vulnerables a estos ataques, estos pueden ser servidores, routers, entre otros, generalmente los atacantes buscan estos equipos que tienen una dirección IP estática y que se comunican con todos los equipos de la red, de esta forma es más factible capturar los paquetes que van a estos dispositivos.

En este caso vamos a configurar las tablas ARP en los equipos implicados que son el Router y la maquina victima.

Con este comando se configura la tabla ARP de forma manual en la maquina víctima (Windows XP), en este caso los parámetros ARP de la puerta de enlace.

Ahora revisamos la tabla ARP, y vemos que agregamos correctamente la dirección IP y la MAC de la puerta de enlace.

Ahora con el Router también configuramos la tabla ARP de forma manual. En este caso serán los parámetros de la maquina victima.

Verificamos que los parámetros se configuraron correctamente.

Vemos que la maquina atacante sigue inyectando los paquetes ARP, continuando el ataque.

Ahora vamos a probar si al configurar la dirección IP relacionado la dirección MAC, de forma manual es efectivo contra el ataque, enviando un ping del router a la maquina víctima.

Efectivamente vemos que ya no captura los paquetes entre la víctima y la puerta de enlace.

Vemos que en la maquina víctima llegan correctamente los paquetes.

Ahora comprobamos en el sentido inverso. Enviando un ping de la maquina víctima a la puerta de enlace.

Vemos que la maquina victima captura todos los paquetes.

Y también observamos que la maquina atacante, no captura los paquetes, con esto podemos concluir que configurando las tablas de forma manual, es efectivo contra el ataque y de esta forma nos podemos defender con ataques de esta índole. El problemas con esta solución es que una red demasiado grande es muy tedioso configurar tantos dispositivos, esta solución es efectiva en pequeñas redes.