Bypassear AV para arp-poisoning?

Iniciado por Debci, 5 Julio 2010, 22:44 PM

0 Miembros y 1 Visitante están viendo este tema.

Debci

Hola a todos, llevo ya mas de una semana intentando poisonear las tablas arp en una red local, y no hay manera, con ettercap estoy trabajando.

Mirad, hago uniffied sniffing, cojo la interfaz wlan0, y hago el ataque MitM clasico, y para rematarlo compruebo con un plugin chk_poison para ver si el ataque ha surgido, y nada, resultado negativo, lo que mas me sorprende son tres cosas:

1-Los ataques de arp poison trabajan en la capa 2, los antivirus tienen protecion a ese nivel?
2-Porque si son 3 pc´s en la red, no afecta a ninguno? Y tengo por seguro que hay uno que no tiene ni AV ni firewall (con el que hacemos pruebas)
3-Si el ataque falla, no deberia etetrcap darme algun signo de error?

Según me comentó Kamsky, puedo probar un ataque de fragmentación de paquetes, he buscado y no encuentro nada con referencia a eso, solamnete algo de teoria pero ningun soft para hacerlo, además de parecer un ataque muy muy complicado, aun no lo se de cierto.

Alguien sabe que puedo hacer?


Saludos

ikary

Citar1-Los ataques de arp poison trabajan en la capa 2, los antivirus tienen protecion a ese nivel?
A nivel de enlace de datos (capa 2) entran en juego los cortafuegos, uno de estos bien configurado y cortando trafico a este nivel es muy potente, pero la configuracion es bastante complicada, por lo que si estas atacando una red lan casera no deberia de ser este el problema.
Citar2-Porque si son 3 pc´s en la red, no afecta a ninguno? Y tengo por seguro que hay uno que no tiene ni AV ni firewall (con el que hacemos pruebas)
El AV no se centra en trafico de red como ARP, ICMP ni ninguno de esos, por lo que el problema no puede ir por ahi
Citar3-Si el ataque falla, no deberia etetrcap darme algun signo de error?
Al hacer el intento de envenenamiento de tabla ARP, ettercap lo que hace es simular la respuesta a una peticion de descubrimiento de maquina. Por lo que ettercap no espera respuesta, si no que la genera. Para eso crearon el plugin chk_poison ^^

Realmente me resulta extraño que no puedas hacer un envenenamiento ARP simple a no ser por los siguientes motivos:

1- Esteis usando un router con protocolo de enrutamiento basado en capa 3 (poco probable)
2- El switch este protegido contra ataques de este tipo (probable, los ultimos modelos de swhitch administrables traen la opcion)
3- El switch tenga asignadas las MAC manualmente, haciendo imposible el envenenamiento (mas probable)
4- Espero que no sea esto, ¿estas ejecutando ettercap como root? :P (si es esto te mato XDD)

Si no es ninguno de estos problemas comentanos que tipo de red y que intermediarios aparecen (routers, switchs... hubs ¬¬ ) e intentamos sacar una solucion.
Por lo de el ataque de fragmentacion de paquetes que te dijo kamsky no puedo ayudate, no lo conocia.

Un saludo

Debci

Pues mira, es un router sin nada mas, el ettercap si esta, como root, pues trabajo con ese usser, y si se puede modificar algo, tengo aceso a la puerta de enlace :D

Saludos

tragantras

Cita de: ikary en  8 Julio 2010, 16:17 PM

1- Esteis usando un router con protocolo de enrutamiento basado en capa 3 (poco probable)


ARP no es un protocolo de enrutamiento, arp es un protocolo de resolucion de direcciones Address Resolution Protocol. Trabaja en la segunda capa para unificar la capa de Enlace con la capa de Red (ethernet-IP)
Colaboraciones:
1 2

Debci


ikary

Cita de: tragantras en  9 Julio 2010, 15:33 PM
Cita de: ikary en  8 Julio 2010, 16:17 PM

1- Esteis usando un router con protocolo de enrutamiento basado en capa 3 (poco probable)


ARP no es un protocolo de enrutamiento, arp es un protocolo de resolucion de direcciones Address Resolution Protocol. Trabaja en la segunda capa para unificar la capa de Enlace con la capa de Red (ethernet-IP)

No entiendo a que viene esa correccion, por supuesto que arp no es un protocolo de enrutamiento!!  :o ARP se denomina como protocolo de descubrimiento y resolucion de maquina
Citar...ettercap lo que hace es simular la respuesta a una peticion de descubrimiento de maquina...
A lo que me referia con la respuesta nº1 era a los routers cisco basados unicamente en protocolos de capa 3, y lo de poco probable es por que es muy dificil encontrar un router de este tipo en una red local pequeña, ya que estan pensados para protocolos de enrutamiento externos como BGP.

Volviendo a tu pregunta Debci, me quedan 2 soluciones, la solucion que te expuse, la numero 3, o que algo estas haciendo mal XDD

Mirate este video donde explican muy claranmente el uso de ettercap http://icaix.com/tutoriales/ettercap.htm
Es posible que se te este escapando algo.

Un saludo

tragantras

no si la corrección no la hice "a malas" xD, solo porque me quedé muy "shockeado" jaja

En caso de que el AV bloquee el arp-poisoning no sería tan solo en 1 ordenador?
Abre el wireshark o el tcpdump y mira a ver que pasa porque... ( no lo se eh, pero lo supongo xD ) puede ser que si intentas "suplantar" al pc con el av, cuando le llegue la respuesta fake del pc suplantador, responda el tambien despues, e invalidaría a la anterior. Si tienes 3 pcs prueba a usar solo los 2 sin AV, y/o apaga al otro
Colaboraciones:
1 2

Debci

Te aseguro que hacerlo bien lo hago, porque he poisoneado ya muchas redes, pero en esta no se que ocurre, es un sistema de andar por casa, ni switch ni nada, un router, y varios pc que se conectan a el por wifi, y añadiendo mi propio pc, sin antivirus ni firewall (que era facilmente spoofeado en mi propia, y en esta otra red no se puede).

Saludos

Debci

Siento revivirlo de esta manera, pero nadie es capaz de decirme con certeza lo que pasa.
Me poneis el caso de que es una red muy compleja, y no es asi, es un sistema hogareño simple, sin switches ni nada, simplemente un router con su wifi y pc que se conectan a este.

Si os sirve de algo deciros que tengo aceso a la configuración del router.
Me pregunto tambien, si es posible que haya podido crackear la pass wep si no permite la captura de ARP y el ettercap no lo consiga :S

Por favor no tengo manera, he leido mil y un documentos sobre arp poisoning, pero nada, no me dice nada de lo que yo sufro, ahi simplemente se habla de algunas medidas de seguridad que dicha red no sufre, para evitar arp, pero como ya digo no hay manera.

Saludos

braulio--

Has probado a intentar el poisoning desde otros ordenadores de esa misma red?