Mensajes

Si  , de acuerdo.
Un saludo

Respecto al sniffing que es lo que me refiero todo el tiempo, no es nada engorroso al revés, simplemente poner en modo monitor la tarjeta y ya está.
No he entendido lo de descifrar los paquetes en tiempo real, imagino que te refieres al cifrado de las tramas por eso no lo he entendido, ya sea sniffing o cualquier cosa que quieras hacer simplemente configuras el interfaz wifi con la/s clave de cifrado usada en dicha red.

Respecto a lo demás que llevas a cabo, se podría llevar a cabo con airpwn por ejemplo, pero coincido contigo en que si la red está usando wep o una psk poco robusta difícil será que haya alguien mirando quien usa la red.

De todas maneras, como apunté yo me refería inicialmente a la captura de tráfico de un host en la red wifi, para lo cual es innecesario el arp spoofing (que además perderías todo el tráfico restante del pc víctima que no sea desde/hacia la otra máquina de la entrada envenenada, y perderías todo el restante tráfico también de los demás host de la red).

Un saludo

Yo lo que quería apuntar unicamente es que el sniffing debe hacerse siempre con la tarjeta puesta en modo promiscuo (o también en monitor si es wifi), que si uno de los objetivo es ver el tráfico de una máquina en un dominio de colisión como es una red inalámbrica, o ver todo el tráfico de todas las máquinas de dicho dominio, puedes hacerlo y ver todo el tráfico sin necesidad de asociarse ni hacer arp spoofing (en el que además solo verías el tráfico entre las máquinas afectadas por el arp spoofing).

EDITO: Por ejemplo, se podría hacer el mismo ataque que haces sin necesidad de asociarse ni hacer arp spoofing, simplemente estando conectado a tu propio internet, haciendo sniffing e inyectando, de manera que el servidor web para la víctima al que es redirigido está en internet, y la máquina que establece la conexión con la shell de la víctima lo hace desde internet. Claro que esto es sólo posible si la víctima está en la red inalámbrica.

No digo que sea mejor o peor, es otra idea simplemente, lo que me refiero es que dependiendo del escenario (host atacados conectados por cable o por adaptador inalámbrico) tiene sus consecuencias, sobre todo a la hora del sniffing, que el pasivo es indetectable y por tanto preferible siempre que se pueda, con lo que el arp spoofing es innecesario para el sniffing en medios inalámbricos.

Un saludo

Te has dividido en 2 personas/personalidades?¿?¿  

Jaja yeah, pensé que había borrado ya la otra cuenta, pero al parecer firefox tiene guardada la clave y se ha ingresado directamente, de todas formas ya la marqué puedes borrarla, no quería seguir usando la otra por diversos motivos

por cierto, no veo ninguna diferencia entre que en una red Wifi los PC's se conecten por cable o inalámbricamente, la forma de actuar es la misma, lo que varía es el medio físico...

Sí la hay, los dispositivos de una red wifi que deseen comunicarse con equipos de su misma red ip que tengan interfaces cableadas, debe ser una red wifi en modo infraestructura, en el que hay un  AP que hace de switch con la parte de la red cableada.
No puedes ver las tramas con tu tarjeta inalámbrica de los que están en la parte cableada porque viajan por cable, con lo cual si quieres ver el tráfico de estos host con algún dispositivo que no se encuentre en la parte inalámbrica (por ejemplo la puerta de enlace) debes hacer arp spoofing de manera que hagas creer a la víctima que la puerta de enlace tiene como dirección física tu MAC, de manera que ese tráfico que antes viajaba por cable ahora vaya dirigido a ti y viaje por el medio inalámbrico y ya sí puedes verlo, y lo mismo claro viceversa con la puerta de enlace.

Por tanto la diferencia es que la red sea conmutada con la red cableada, y por tanto necesites del arp spoofing, o que estemos hablando de víctimas en la red inalámbrica con lo cuál se trataría de hacer sniffing pasivo. Ojo, estoy hablando de sniffing todo el tiempo, que es el motivo por el que posteé.

Por eso te decía lo de especificar más, porque los dispositivos de la parte cableada no pertenecen a la red inalámbrica (aunque si puedan pertenecer a la misma red ip), por tanto debe especificarse un poco más con lo de que el ataque es sobre una red wifi.

Un saludo

[la Ip del router]

No se de donde te sacas que el Arp Poisoning lo hago a todos los equipos de la red, cito el tuto:

Esto con Ettercap es sencillo, simplemente nos ponemos encima de la Ip del router y lo
añadimos a la lista de "víctimas" pulsando el 1, y a continuación añadimos a la víctima pulsando el
2.

Cito del pdf:
"Una vez realizado el paso anterior, ya estaremos en el mismo segmento de red que
los hosts legítimos conectados al router inalámbrico, por lo que nos aprovecharemos
de esto para sniffar tráfico y obtener más datos de las víctimas".
"...El siguiente paso será mediante arpspoofing hacernos pasar por el router y hacer un MiM
para capturar todo el tráfico que pase desde la víctima hasta el router y viceversa."

¿En qué quedamos estamos en el mismo segmento que los demás host o es una red conmutada, estamos hablando de una red wifi o hablamos de un Punto de acceso haciendo de infraestructura con host conectados a él por cable?
Para capturar el tráfico de una máquina hacia la puerta de enlace haces arp spoofing, entonces digo yo que para hacer sniffing y ver el tráfico desde/hacia internet de las demás máquinas de la red wifi a tu manera, ¿tendrás que envenenar las tablas arp de todas las máquinas no?

No veo sólo el tráfico que va de la víctima hacia internet, si no TODO el tráfico que tiene como origen/destino ese PC, ya que es una red conmutada...

No, para empezar aclárate si hablas de host que están en el mismo segmento, o hablas de una red conmutada, o de una wifi o que, porque te contradices lo que dices ahora con lo que pone en el pdf.
Si haces mitm entre la víctima y la puerta de enlace haciendo arp spoofing, sólo verás el tráfico desde/hacia internet, no puedes ver el tráfico de la víctima con máquinas de la red local, si esa víctima por ejemplo se conecta a un servidor en la red local, en su tabla arp la ip del servidor local no se corresponde con tu mac, así que ese tráfico al no tener tu tarjeta en modo promiscuo o monitor no puedes verlas, y si tuvieses la tarjeta en modo monitor o promiscuo, no necesitarías hacer arp spoofing para ver el tráfico de la red wifi.

Claro que se puede inyectar sin estar asociado, pero no creo que sea muy práctico, ya que por ejemplo en el caso que dices, recibirá 2 respuestas DNS, la legítima y la nuestra, cual llegará antes?como tratará esto el host víctima?, pues depende... y como no  queremos que dependa, si no que se quede con la nuestra, por eso me asocio y después enveneno la tabla ARP...

Calculando tiempos llegará antes la nuestra, ya que la respuesta nuestra "llega desde la red local", y la legítima desde Internet.
No depende, siempre se desecha la segunda en todos los clientes DNS, la primera se toma como legítima.
Asociarte y envenenar la tabla arp es facilmente detectable, sólo hay que mirar los logs del AP.

Que sentido tiene envenenar la tabla ARP con una entrada que no existe y que por lo tanto generará error, más allá de hacerle un DoS...?¿

Podrías envenenar la tabla arp con una entrada de una máquina legítima de la red, sentido puede tenerlo en ciertos casos (por ejemplo un Dos como dices pero también otras muchas cosas), pero independientemente de eso no hablé del sentido que tuviera.


Un saludo

No necesitas hacer arp poisoning para el sniffing de una red wifi, hablo del sniffing, haces arp posioning de todos los equipos de la red con la puerta de enlace, es un sniffing mal hecho, porque ni necesitas hacer arp poisoning ni estás viendo todo el el tráfico capturable por tu tarjeta de la BSS (sólo estás viendo el tráfico desde/hacia internet) .

Otra cosa es la inyección de tráfico, que no es sniffing, y en todo caso para inyectar tráfico no necesitas asociarte ni hacer arp spoofing si lo que quieres es inyectar tramas de manera que parezcan haber salido de un dispositivo legítimo de la red, por ejemplo, para hacer dns spoofing,  puedes inyectar una trama de respuesta falsa a la petición dns de la víctima (que tragará si está bien construida la trama) sin necesidad de asociarte ni hacer arp spoofing.
Para hacer envenenamiento de las tablas arp de un dispositivo de la red tampoco necesitas asociarte, obviamente si quieres envenenar una tabla arp de manera que la dirección falsa a la que haga referencia esa entrada en la tabla sea la de tu tarjeta de red, entonces si necesitas asociarte, necesitas asociarte siempre que quieras que tu equipo sea y participe como un nuevo dispositivo en la red (como por ejemplo levantar un servidor en la red local que es lo que haces, entonces sí).

Pero yo no hablo de inyectar, digo que en la parte que haces sniffing haces arp spoofing de todos los dispositivos de la red ip, para hacer el sniffing de la red wifi no necesitas hacerlo (aparte de que ni siquiera estás haciendo sniffing), y si estuviesemos hablando de hacer arp spoofing para alterar el tráfico entrante y saliente de internet para "hacerse con el control" de una máquina, sería sobre una sóla máquina y la puerta de enlace, y no sobre todas las máquinas.

Un saludo

El sniffing siempre debe hacerse con la tarjeta en modo promiscuo (o en caso de una interfaz wireless también puede estar en monitor), debe ser siempre que se pueda pasivo, el propósito de la técnica de arp spoofing es unicamente el sniffing en redes ethernet conmutadas, porque es estrictamente necesario en este entorno aún sabiendo las desventajas que eso conlleva (ya no es un sniffing pasivo, es detectable).

En el sniffing que haces estás haciendo un mal uso de la técnica de arp spoofing de manera innecesaria (que conlleva a tener que asociarse al punto de acceso e inyectar tramas).

Un saludo