jueves, 12 de septiembre de 2013

Sniffer espiando el trafico en nuestra red local :)

En este post veremos algunas cosas que podemos lograr con el sniffeo en alguna red local.

¿Que es un sniffer y que podemos hacer con el? un sniffer es un software con el cual podemos ver el tráfico de nuestra red local, para poder ver el tráfico de nuestra red la tarjeta de red que estemos usando debe de ponerse en modo promiscuo, el modo promiscuo se activa automática mente al configurar nuestro sniffer y lanzar el análisis de nuestro trafico.
Osea es estar de chismoso viendo lo que los demás están haciendo en nuestra red XD

Bueno en este ejemplo utilizaré como atacante a una maquina con kali-linux y la vitcitma será un Windows 7 ultimate

Lo primero que haremos es mandar llamar a nuestro programa. kali linux trae varios sniffers pero en esta ocasión usáremos ettercap.

el comando para mandarlo llamar será ettercap -G (ojo podemos manejar ettercap de varias maneras el parámetro -G es para mandarlo llamar de forma gráfica)



siguiente paso será ir al menu Sniff y seleccionamos Unified sniffing ahi lo que haremos es seleccionar la interface de red que estamos utilizando, como en este caso yo estoy conectado por medio de cable de red ethernet mi interfaz de red será eth0


una vez le hemos dado click a Unified sniffing seleccionamos la interfaz eth0 como habíamos mencionado anteriormente

Una vez que hemos dado click en el boton de ok vemos como los menus cambian y en la parte inferior nos da varios mensajes de cosas que "cargo ettercap" como lo son plugins, puertos y otras cosas mas

El siguiente paso será ver todos los dispositivos conectados a la red para eso nos vamos al menu Hosts y damos click en Scan for hosts (también podemos presionar la combinación de teclas Ctrl + s)


Ahora procedemos a ver los hosts que encontró ettercap, para verlos hosts que encontró vamos al menu Hosts y despues damos click en Hosts list


En este caso a mi me detectó 4 hosts y veamos cuales fuerón

En este caso seleccionaremos como nuestra victima el dispositivo con el ip 192.168.1.20 esa será nuestra victima otra cosa que necesitamos saber es cual es la ip del router, para saber la ip del router tenemos el siguiente comando:
route -n

Ahi podemos observar que la ip local del modem es 192.168.1.254 ya que es lo que le corresponde al Gateway o puerta de enlace.
¿Por que necesitamos saber la ip de nuestra vitima y del router? la respuesta es sencilla, lo que vamos a hacer es ponernos "en medio de ellos 2" para poder estar interceptando las comunicaciones
este tipo de ataque se conoce como man in the middle o ataque de hombre en medio.

Entonces aqui damos click al ip de mi victima y despues damos click al boton que dice Add to target 1


Ahi vemos que nos aparece el mensaje en la parte de abajo y dice Host 192.168.1.20 addes to TARGET 1.
Ahora le damos click a la ip del modem "192.168.1.254" y damos click en el boton que dice Add to Target 2

El siguiente paso sería ir al menu Mitm y seleccionar arp poisoning, pero antes de eso vamos a la computadora con windows 7 (que es nuestra victima) habrimos la consola de cmd y escribimos el comando:
arp -a

El protocolo ARP tiene un papel clave entre los protocolos de capa de Internet relacionados con el protocolo TCP/IP,
ya que permite que se conozca la dirección física de una tarjeta de interfaz de red correspondiente a una dirección IP.
Por eso se llama Protocolo de Resolución de Dirección (en inglés ARP significa Address Resolution Protocol).
Cada equipo conectado a la red tiene un número de identificación de 48 bits.
Éste es un número único establecido en la fábrica en el momento de fabricación de la tarjeta.

fuente: wikipedia

Entonces el comando arp -a me muestra las direcciones mac que le corresponde a cada dispositivo de la red.
Por que estoy mostrando esto por que veremos como es el cambio cuando se infectan las tablas arp con ettercap.


Entonces ahora si vamos al menu Mitm y seleccionamos Arp poisoning (envenenar arp :D )

Una vez selccionado Arp poisonin nos saldra el siguiente cuadro, ahi seleccionamos la opción que dice Sniff remote conections y damos click en el boton ok


Por ultimo vamos al menu Start y selecionamos start sniffing


Acontinuacion veremos como al principio con el comando arp -a la ip de kali (192.168.1.99) tiene la mac address 00-0c-29-3a-bc-f9 y la ip del moden (192.168.1.254) tiene la mac address 00-23-51-0c-5b-b9. Eso fue antes de lanzar el esnifeo en la segunda parte volvemos a poner el comando en la consola de windows arp -a y vemos como la ip del modem tiene la misma mac address que la ip de kali :D :D :D :D :D

En este caso nuestra victima esta entrando a la pagina http://www.directoriow.com y se va a loguear en su cuenta





Ahora vemos en la esquina superior derecha que el usuario ya se encuentra logueado :D


Ahora vemos que ettercap capturó el usuario y la contraseña del sitio donde se logueo la victima :) esto, fué posible por que la pagina usa http en vez de https y las contraseñas viajan por la red en texto plano en https las contraseñas estan encriptadas.

también podemos ver que aparece 2 vecese user con un pass diferente esto es por que el primero fue un error en la contraseña.


Esta es solo una pequeña muestra de todo lo que puede hacer ettercap, solo como comentario ettercap puede hacer muchisimas cosas mas (redirigir tráfico, ver las imagenes que esten viendo los usuarios conectados a la red, etc etc).

Hay programas que detectan este tipo de ataques, el antivirus eset detecta cuando alguien esta infectando las tablas arp, y hay muchos programas mas que detectan este tipo de ataques ya te tocará investigar.

Espero haya quedado todo muy claro :D