Buenas,
estoy de becario en una empresa de seguridad y me han dejado trastear con una red bastante grande :DD
Resultado: frustrante xD
Ataque: MITM
Lo llevaba preparado de casa, en mi wifi funciona, allí no.
Escenario:
Rango: 10.50.0.0 con broadcast 10.50.255.255, vamos una red que admite muchos hosts.
Mi puerta de enlace sacada con route -n: 10.50.0.1
La MAC no puede estar hardcodeada porque es una red donde la gente lleva su portatil y se conecta en las bocas disponibles. A no ser que la hardcodeen por bocas de conexion o a saber.
Ataque:
arpspoofing eth0 10.50.0.1 ---> Sin resultados
Como que era muy basto he intentado con un objetivo en concreto:
arpspoofing eth0 -t 10.50.x.y 10.50.0.1 ---> Sin resultados
Donde 10.50.x.y era otro pc mio conectado a la red, su tabla arp no cambiaba.
Al final he cogido el ettercap y tras un scaneo de hosts he echo un MITN desde él. ---> Sin resultados
Sabeis si hay alguna manera de evitar el cambio de MAC de una puerta de enlace? O algo que este causando que esto no funcione?
Gracias!!
Un IDS que guarda las ARP request hasta comprobar que son legitimas? (hasta comprobar que despues de la primera no van otras 500 por segundo quiero decir).
Yo creo que si que podría hacer para que descarte todas las ARP request que mande un ordenador si las manda en masa, no?
Si las tablas ARP están estáticas no podras hacerlo ¿Has probado a hacer MITM entre 2 host y no hacia la puerta de enlace? Prueba haber si funciona y vas descartando posibilidades.
Un Saludo.
Utiliza wireshark y analiza los paquetes que se intercambian entre tu maquina, el router y la víctima. Pero vamos, seguro que tienen un sistema de protección con tablas ARP estáticas o un NIDS que identifica el ataque y actúa en consecuencia... Intenta otro vector de ataque, no siempre los ataques ARP funcionan, pero intentando encontraras alguna forma, tienes la ventaja de que tienes permiso para "jugar".... :)
Pues me pasado un segundo por la red a hacer un 'arp -a', sorpresa, según Windows la tabla arp, toda es dinámica, incluido el gateway....
He intentado borrarla haber su me la volvía asignar, pero no tenia privilegios en el pc, no llevaba mi portátil para enchufarme.
Otra cosa que me ha parecido curiosa, había dos IPs:
10.50.1.2 (parece que ofrece algún servicio, el otro día también estaba)
10.50.1.174
Las dos tenían la misma MAC, osea son la misma maquina... Por lo tanto la red permite MACs duplicadas, a no ser que tengan una excepción con esa...
:rolleyes: :o
Ya se que pasa:
http://en.wikipedia.org/wiki/DHCP_snooping
http://www.cisco.com/en/US/docs/switches/lan/catalyst3560/software/release/12.2_20_se/configuration/guide/swdynarp.pdf
Alguna idea de como saltarselo?
En principio esta técnica la debe tener implementada cada switch o hub.