MITM en una red grande, raro raro...

Iniciado por Distorsion, 30 Enero 2012, 20:07 PM

0 Miembros y 1 Visitante están viendo este tema.

Distorsion

Buenas,
estoy de becario en una empresa de seguridad y me han dejado trastear con una red bastante grande :DD
Resultado: frustrante xD

Ataque: MITM
Lo llevaba preparado de casa, en mi wifi  funciona, allí no.

Escenario:

Rango: 10.50.0.0 con broadcast 10.50.255.255, vamos una red que admite muchos hosts.
Mi puerta de enlace sacada con route -n: 10.50.0.1
La MAC no puede estar hardcodeada porque es una red donde la gente lleva su portatil y se conecta en las bocas disponibles. A no ser que la hardcodeen por bocas de conexion o a saber.

Ataque:
arpspoofing eth0 10.50.0.1   ---> Sin resultados

Como que era muy basto he intentado con un objetivo en concreto:

arpspoofing eth0 -t 10.50.x.y 10.50.0.1   ---> Sin resultados

Donde 10.50.x.y era otro pc mio conectado a la red, su tabla arp no cambiaba.

Al final he cogido el ettercap y tras un scaneo de hosts he echo un MITN desde él. ---> Sin resultados


Sabeis si hay alguna manera de evitar el cambio de MAC de una puerta de enlace? O algo que este causando que esto no funcione?


Gracias!!


Fastolfe

Un IDS que guarda las ARP request hasta comprobar que son legitimas? (hasta comprobar que despues de la primera no van otras 500 por segundo quiero decir).

Yo creo que si que podría hacer para que descarte todas las ARP request que mande un ordenador si las manda en masa, no?

OLM

Si las tablas ARP están estáticas no podras hacerlo ¿Has probado a hacer MITM entre 2 host y no hacia la puerta de enlace? Prueba haber si funciona y vas descartando posibilidades.

Un Saludo.
Nunca consideres el estudio como una obligación, sino como una oportunidad para adentrarse en el maravilloso mundo del saber.

adastra

Utiliza wireshark y analiza los paquetes que se intercambian  entre tu maquina, el router y la víctima. Pero vamos, seguro que tienen un sistema de protección con tablas ARP estáticas o un NIDS que identifica el ataque y actúa en consecuencia... Intenta otro vector de ataque, no siempre los ataques ARP funcionan, pero intentando encontraras alguna forma, tienes la ventaja de que tienes permiso para "jugar".... :)

Distorsion

Pues me pasado un segundo por la red a hacer un 'arp -a', sorpresa, según Windows la tabla arp, toda es dinámica, incluido el gateway....
He intentado borrarla haber su me la volvía asignar, pero no tenia privilegios en el pc, no llevaba mi portátil para enchufarme.

Otra cosa que me ha parecido curiosa, había dos IPs:

10.50.1.2 (parece que ofrece algún servicio, el otro día también estaba)
10.50.1.174

Las dos tenían la misma MAC, osea son la misma maquina... Por lo tanto la red permite MACs duplicadas, a no ser que tengan una excepción con esa...


:rolleyes:  :o


Distorsion