ARP Spoofing
Klk chavales, asi sin mucha paja, voy a explicar un poco lo que he aprendido del protocolo ARP y de como hacer un spoofing con él consiguiendo un ataque Man in the Middle.
¿Qué es ARP?
ARP (Address Resolution Protocol) es un protocolo utilizado en la capa de Red en el modelo TCP/IP con la utilidad de identificar la MAC de una IP. Para ejemplficarlo un poco, supongase el caso de que se quiere acceder a la dirección IP 122.65.32.2, una vez realizado todo el proceso hasta llegar a la parte donde entra en juego el protocolo ARP, lo que sucede es que en el momento de llegar al último nivel de jerarquia en la IP el router utiliza la MAC para encontrar el dispositivo que ha hecho una determinada petición o esta a la espera de una respuesta.
¿Como logra identificar la MAC?
El protocolo lanza peticiones ARP a todas las máquinas de la red en cuestión, seguidamente, los dispositivos lanzan una respuesta a esa petición indicando su MAC. Debido a la ineficiencia de este proceso (se realizan muchas peticiones), se usan las ARP tables que simplemente guardan la información de las respuestas para evitar lanzar peticiones en un futuras ocasiones.
Un ejemplo de petición/respuesta:
Spoofing del protocolo ARP
Como atacante lo se va a querer simular es que para un dispositivo nosotros somos el router y a la inversa. Es decir, el tráfico para ambos va a ser normal, sin embargo, el atacante va a generar un ataque MitM. Posteriormente, se podría sniffear las peticiones y respuesta de ambos con divesos métodos y herramientas (por ejemplo, urlsniff).
En pocas palabras, como dispositivo victima (192.168.1.102), router (192.168.1.1) y atacante (192.168.1.101), vamos a enviar respuestas al router como que la mac de 192.168.1.102 es la de 192.168.1.101 y a la victima enviar que la mac de 192.168.1.1 es la de 192.168.1.101.
Momento de poner la teoría en práctica En este momento, se van a usar las herramientas de dsniff, en particular, arpspoof, además de netdiscover para hallar las máquinas. Importante, activar el ip forwarding de tu sistema es imprescindible (En kali: echo 1 > /proc/sys/net/ipv4/ip_forward).
En primer lugar, con netdiscover se pueden encontrar los dispositivos que estan en la red. Seguidamente, con arpspoof enviaremos las respuestas ARP para que se modifiquen las ARP tables. La herramienta va a seguir mandando las respuestas hasta que nosotros la detengamos, después la herramienta por sí sola devolvera la ARP table como estaba antes.
Para afianzar mucho más el concepto, al tratarse de un ataque sencillo, se puede implementar estas herramientas con python, bash, c, etc. Además, para ver estas peticiones por detrás, con cualquier herramienta como WireShark se pueden apreciar y también se pueden inspeccionar las ARP tables con comandos como arp -a en máquinas Linux.
Klk chavales, asi sin mucha paja, voy a explicar un poco lo que he aprendido del protocolo ARP y de como hacer un spoofing con él consiguiendo un ataque Man in the Middle.
¿Qué es ARP?
ARP (Address Resolution Protocol) es un protocolo utilizado en la capa de Red en el modelo TCP/IP con la utilidad de identificar la MAC de una IP. Para ejemplficarlo un poco, supongase el caso de que se quiere acceder a la dirección IP 122.65.32.2, una vez realizado todo el proceso hasta llegar a la parte donde entra en juego el protocolo ARP, lo que sucede es que en el momento de llegar al último nivel de jerarquia en la IP el router utiliza la MAC para encontrar el dispositivo que ha hecho una determinada petición o esta a la espera de una respuesta.
¿Como logra identificar la MAC?
El protocolo lanza peticiones ARP a todas las máquinas de la red en cuestión, seguidamente, los dispositivos lanzan una respuesta a esa petición indicando su MAC. Debido a la ineficiencia de este proceso (se realizan muchas peticiones), se usan las ARP tables que simplemente guardan la información de las respuestas para evitar lanzar peticiones en un futuras ocasiones.
Un ejemplo de petición/respuesta:
Spoofing del protocolo ARP
Como atacante lo se va a querer simular es que para un dispositivo nosotros somos el router y a la inversa. Es decir, el tráfico para ambos va a ser normal, sin embargo, el atacante va a generar un ataque MitM. Posteriormente, se podría sniffear las peticiones y respuesta de ambos con divesos métodos y herramientas (por ejemplo, urlsniff).
En pocas palabras, como dispositivo victima (192.168.1.102), router (192.168.1.1) y atacante (192.168.1.101), vamos a enviar respuestas al router como que la mac de 192.168.1.102 es la de 192.168.1.101 y a la victima enviar que la mac de 192.168.1.1 es la de 192.168.1.101.
Momento de poner la teoría en práctica En este momento, se van a usar las herramientas de dsniff, en particular, arpspoof, además de netdiscover para hallar las máquinas. Importante, activar el ip forwarding de tu sistema es imprescindible (En kali: echo 1 > /proc/sys/net/ipv4/ip_forward).
En primer lugar, con netdiscover se pueden encontrar los dispositivos que estan en la red. Seguidamente, con arpspoof enviaremos las respuestas ARP para que se modifiquen las ARP tables. La herramienta va a seguir mandando las respuestas hasta que nosotros la detengamos, después la herramienta por sí sola devolvera la ARP table como estaba antes.
Para afianzar mucho más el concepto, al tratarse de un ataque sencillo, se puede implementar estas herramientas con python, bash, c, etc. Además, para ver estas peticiones por detrás, con cualquier herramienta como WireShark se pueden apreciar y también se pueden inspeccionar las ARP tables con comandos como arp -a en máquinas Linux.
