Consulta Router puerto 80

Iniciado por AlexaoJ, 11 Julio 2012, 22:12 PM

0 Miembros y 2 Visitantes están viendo este tema.

int_0x40

#10
Perdón por contestar hasta ahora, pues no había entrado en estos días.

Citar
Entonces yo pregunto,porque nuestra maquina (maquina atacante) recibe las tramas por el puerto 80??Y el router (por lo que comento el otro muchacho) no la recibe por ningun puerto logico,sino por el fisico?

Para aclarar la duda, hay que comprender que las tramas son PDU de capa 2, ahí no interesa el puerto lógico 80 que corresponde a un identificador de capa de transporte, el cual sirve para poder pasar los datos a la aplicación adecuada en la capa de aplicación (en nuestro caso es http). El arpspoofing se de en capa 2-3 (bueno se origina en capa 3 para el mapeo de dirección lógica a física que es de capa 2) para poder hacer MITM, el tráfico de la víctima que en este caso interesa capturar (con el MITM) es el de http, por eso el puerto 80 es importante en el atacante, pero no recibe tramas en ese puerto en realidad, lo que recibe son segmentos de la capa de transporte con un identificador de puerto, segmentos que venían encapsulados en paquetes IP con una dirección lógica, que a su vez venían en tramas de capa 2 con una dirección física (la dirección MAC que nos sirve para el envenenamiento de ARP caché de la víctima y hacernos pasar por quienes no somos).

El proceso se invierte en el equipo atacante después de haber capturado el tráfico http en dirección al verdadero router. Se encapsula todo hasta llegar a construir una nueva trama (bueno no solo una sino las necesarias) que se redirige al router. Todo ese trabajo de encapsulamiento y desencapsulamiento se encarga de hacerlo el SO junto con la interfaz de red (drivers) para que en realidad salgan pulsos eléctricos a la capa física portadora.

Entonces puerto lógico sirve a capa de transporte y aplicación. Pejem. puerto TCP 80 generalmente http. Las tramas no ven nada de puertos, solo saben de dirección MAC y otros asuntos de capa 2.

Espero haber ayudado aunque sea varios días después.

Saludos.
"The girl i love...she got long black wavy hair "

ccrunch

Vale, entonces ya me he puesto mi tabla ARP fija  :laugh:

Llevo tiempo equivocándome entre por qué necesito un router enganchado a un módem, y no un switch. Porque un siwtch es capa 2, y no es capaz de leer las IP's?

Lo que ni entiendo es por qué cuando tiene un modem y un switch no funciona, pero si tienes todo eso+un router sí que funcion, al fin y al cabo el swtich seguirá sin poder dirigir los paquetes bien.

HdM

Buenas.

@ccrunch:

Te hace falta el router, ya que éste te permite que varios equipos de tu LAN puedan acceder a inet, mediante NAT/PAT. Con sólo un switch (capa 2), eso no es posible.

Échale un vistazo a este hilo: http://foro.elhacker.net/redes/nat_dinamico_vs_pat-t351392.0.html

Saludos.


- Nice to see you again -

int_0x40

#13
Un router tradicionalmente es un dispositivo capa 3 del modelo OSI, capa de red del modelo TCP/IP. Por lo tanto funciona revisando la cabecera de los paquetes IP y toma decisiones en base a la dirección lógica (es decir la dirección IP) haciendo un mapeo con su tabla de rutas, luego encamina el paquete por el puerto físico asociado ( encapsulándolo en una trama específica de la capa 2 que se use, puede ser por ejemplo ppp). Entonces es un dispositivo indispensable como dijo Bulld0z3r para unir redes diferentes (internets e Internet), por ejemplo una red 802.3 de México que envía paquetes a una ethernet en España a través de varias líneas ppp o de otro tipo. El router entonces implementa las tres primeras capas, por eso no tiene nada que ver con puertos lógicos como el 80, pues no implementa ni la capa de transporte ni la de aplicación, algo que si hacen los equipos o hosts finales.

El switch tradicional no toma decisiones para dirigir tramas (y paquetes) en base a la dirección IP sino en base a la dirección física, en el caso de un switch ethernet, revisa la dirección MAC en la cabecera de la trama y la dirige al puerto físico que esté mapeado en la tabla de forwarding con esa dirección. Por lo tanto el switch tradicional solo implementa las dos primeras capas y tampoco ve nada de puertos lógicos como el tcp 80 pues no implementa capa de red, ni de transporte ni de aplicación.

Hay que decir que hay dispositivos específicos que filtran por ejemplo tráfico en capa de aplicación que hoy se da por llamar gateways de aplicación.

Y bueno el modem es necesario junto al router por que la señal se modula de una determinada forma y tiene que demodularse igual. Asunto de capa física.

Hoy día existen dispositivos híbridos que incluyen modem, router y switch en un mismo aparato. El caso más común es el modem-router que dan las telco a sus clientes de ADSL.

Saludos.
"The girl i love...she got long black wavy hair "

AlexaoJ

#14
Cita de: whiteN0ise en 20 Julio 2012, 01:56 AM
Perdón por contestar hasta ahora, pues no había entrado en estos días.

Para aclarar la duda, hay que comprender que las tramas son PDU de capa 2, ahí no interesa el puerto lógico 80 que corresponde a un identificador de capa de transporte, el cual sirve para poder pasar los datos a la aplicación adecuada en la capa de aplicación (en nuestro caso es http). El arpspoofing se de en capa 2-3 (bueno se origina en capa 3 para el mapeo de dirección lógica a física) para poder hacer MITM, el tráfico de la víctima que en este caso interesa capturar (con el MITM) es el de http, por eso el puerto 80 es importante en el atacante, pero no recibe tramas en ese puerto en realidad, lo que recibe son segmentos de la capa de transporte con un identificador de puerto, segmentos que venían encapsulados en paquetes IP con una dirección lógica, que a su vez venían en tramas de capa 2 con una dirección física (la dirección MAC que nos sirve para el envenenamiento de ARP caché de la víctima y hacernos pasar por quienes no somos).

El proceso se invierte en el equipo atacante después de haber capturado el tráfico http en dirección al verdadero router. Se encapsula todo hasta llegar a construir una nueva trama (bueno no solo una sino las necesarias) que se redirige al router. Todo ese trabajo de encapsulamiento y desencapsulamiento se encarga de hacerlo el SO junto con la interfaz de red (drivers) para que en realidad salgan pulsos eléctricos a la capa física portadora.

Entonces puerto lógico sirve a capa de transporte y aplicación. Pejem. puerto TCP 80 generalmente http. Las tramas no ven nada de puertos, solo saben de dirección MAC y otros asuntos de capa 2.

Espero haber ayudado aunque sea varios días después.

Saludos.

Hola!
Entiendo bastante la explicacion pero sigo con alguna otra duda.(Lo bueno que empeze un curso de redes hace 2 semanas)
Vos decis que la maquina atacante recibe por el puerto 80 segmentos de la capa de transporte con un identificador de puerto.
Ahora mi pregunta es porque?
A lo que voy es a lo siguiente:
El usuario quiere ingresar a www.hotmail.com ,porque la maquina atacante recibe por el puerto 80 esos segmentos que decis vos?
Yo pense que solo el servidor del sitio a visitar (en este ejemplo hotmail),recibe los segmentos en el puerto 80 y como tiene algun apache escuchando ese puerto,responde.
Osea,no entiendo porque la maquina atacante ,recibe informacion por el puerto 80 si el pedido de lo que desea visitar el usuario no corresponde a esa maquina.
Quien se esta encargando entonces de enviarle al puerto 80 de mi maquina(atacante) toda esa informacion?
Corriendo el Wireshark ,puedo ver claramente los pedidos http de la victima por el puerto 80,ahora si no haria ninguna ataque y se corriera (solo imaginando) el Wireshark en el router,tambien veria lo mismo?Porque por lo que me dijieron mas arriba el router no recibe esa info por ningun puerto logico.
Perdona si te maree un poco!Pero me cuesssssssta!jajajaj ,Gracias nuevamente!!

int_0x40

#15
Perdón por contestar hasta ahora, no pensé que el hilo continuara.

Citar
Ahora mi pregunta es porque?

El usuario quiere ingresar a www.hotmail.com ,porque la maquina atacante recibe por el puerto 80 esos segmentos que decis vos?

Ese es el sentido de un ataque Man in the middle (ponerse en medio e interceptar el tráfico entre el destino y la víctima o entre ésta y aquél), es también la forma en como funcionan las redes IP que lo permiten. Cuando la máquina que ataca manda paquetes ARP reply a la víctima (envenenamiento del ARP caché) le hacen creer que ella es el router y que si quiere enviar paquetes de conexión a hotmail, los tiene que mandar a través de ella. La víctima actualiza su caché y pone la dirección MAC del atacante en lugar de la del router y le manda todos sus paquetes destinados a cualquier máquina fuera de la LAN mientras continue el envenenamiento, sea a hotmail o gmail o facebook.

Ahora bien, el atacante configura su equipo para que reciba el tráfico http de la víctima (todo el tráfico dirigido al bien conocido puerto tcp 80 discriminando todo lo demás que no le interesa) y efectivamente actuar como un router, procesa los paquetes en todo el camino de desencapsulamiento (trama, paquete, segmento), entra en escena sslstrip para hacer creer que es una conexión segura cuando no lo es y finalmente los encamina al verdadero router quien se encarga de mandarlos al servidor de hotmail.  

Citar
Yo pense que solo el servidor del sitio a visitar (en este ejemplo hotmail),recibe los segmentos en el puerto 80 y como tiene algun apache escuchando ese puerto,responde.
Osea,no entiendo porque la maquina atacante ,recibe informacion por el puerto 80 si el pedido de lo que desea visitar el usuario no corresponde a esa maquina.

El equipo atacante se está haciendo pasar por el router que manda los paquetes de la víctima, fuera de la LAN al servidor de hotmail. Sólo se pone en medio para husmear los paquetes y hacerse de los pass, es decir nunca en este caso se encarga de contestar.

Como ya te expliqué la máquina atacante recibe paquetes dirigidos al puerto 80 porque ese puerto está asociado con el tráfico http de la víctima, no le interesa otro, y de hecho a través de esa configuración descartará todo lo demás que pueda venir de la víctima. En realidad el equipo atacante no tiene a la escucha ningún servidor web, sólo tiene una regla del cortafuego para aceptar tráfico dirigido al puerto 80, porque no desea recibir todo lo que venga del equipo al que se está atacando, a ver si ahora me entiendes mejor.

Citar
Quien se esta encargando entonces de enviarle al puerto 80 de mi maquina(atacante) toda esa informacion?

No entiendo bien a que te refieres.

Por supuesto en este caso particular es sólo el equipo que esté siendo atacado mediante el envenenamiento ARP el que manda paquetes al atacante. De regreso de hotmail los paquetes llegan al router, usa NAT y como éste no está siendo atacado con envenenamiento ARP sabe a que equipo mandarlos. Todo el ataque incluyendo el uso de sslstrip es para capturar información privada que iría dirigida a una aplicación http aunque el usuario crea que es https.

Citar
Corriendo el Wireshark ,puedo ver claramente los pedidos http de la victima por el puerto 80,ahora si no haria ninguna ataque y se corriera (solo imaginando) el Wireshark en el router,tambien veria lo mismo?Porque por lo que me dijieron mas arriba el router no recibe esa info por ningun puerto logico.
Perdona si te maree un poco!Pero me cuesssssssta!jajajaj ,Gracias nuevamente!!

Si no hubiera ataque de envenenamiento ARP en la víctima y pudieras 'ver' los paquetes que pasan por el router efectivamente podrías ver el tráfico http, si fuera tráfico https iría cifrado. Pero recuerda un router tradicionalmente no está diseñado para 'ver' el contenido de los paquetes IP, sólo revisa la cabecera de éstos para tomar decisiones de por cual puerto físico encaminarlo(mapeando la dirección IP con sus tablas de rutas) o si encuentra un error en ella regresar un paquete de control (ICMP) al equipo que los mandó.

Saludos.





"The girl i love...she got long black wavy hair "

ccrunch

Tengo una pequeña duda. Supongamos que el equipo cliente abre una conexión segura a facebook. Entonces, yo que soy el atacante, le enveneno la red, y sus paquetes pasan a través de mi PC. Entonces, como la conexión está cifrada, puedo ver las conversaciones del chat, por ejemplo?

Qué es eso de ssltrip?

Citar(en este ejemplo hotmail),recibe los segmentos en el puerto 80 y como tiene algun apache escuchando ese puerto,responde.
Siento Microsoft el propietario de Hotmail, dudo que usen el apache.

int_0x40

#17
Citar
Qué es eso de ssltrip?

Jajaja
Sí, supongo que error de dedo, es sslstrip. Me imagino que sabes que es la herramienta que se utiliza en este ataque para 'remover' ssl de la conexión segura. Que más bien es para hacerle creer a la víctima que está usando conexión https pero que en realidad es http. Como este protocolo no cifra la data entonces esta viaja en plano en la red local y ese es el contexto en el que se puede dar este ataque.

Citar
Tengo una pequeña duda. Supongamos que el equipo cliente abre una conexión segura a facebook. Entonces, yo que soy el atacante, le enveneno la red, y sus paquetes pasan a través de mi PC. Entonces, como la conexión está cifrada, puedo ver las conversaciones del chat, por ejemplo?

Así como lo planteas creo que no, pues primero se estableció la conexión segura. Segundo el envenenamiento ARP permitiría capturar los paquetes de la víctima (ésta cree que su comunicación de capa 3 es con quien supone: el router) pero de nada serviría pues éstos irían cifrados porque la conexión ya se estableció con uso de SSL. En cambio si de alguna forma pudiera el atacante lograr que las conexiones no fueran cifradas, es decir que tanto el server como el cliente negociaran una conexión en donde los datos viajaran en texto plano de ida y regreso sin que se percate la víctima, entonces sería teoricamente posible. Con sslstrip al menos para los mensajes de ida ayudándose de un analizador de paquetes y con algún filtro o search por /ajax/chat/send.php podría servir pero no lo he probado. También si la conexión pasa por un proxy http si mal no recuerdo es posible interceptar los paquetes de la víctima.

Citar
When HTTPS is being used, the browser cannot perform the SSL hand-shake with the proxy server, as this would break the secure tunnel and leave the communications vulnerable to interception attacks. Hence, the browser must use the proxy as a pure TCP-level relay, which passes all network data in both directions between the browser and the destination web server, with which the browser performs an SSL handshake as normal. To establish this relay, the browser makes an HTTP request to the proxy server using the CONNECT method and specifying the destination hostname and port number as the URL. If the proxy allows the request, it returns an HTTP response with a 200 status, keeps the TCP connection open, and from that point onwards acts as a pure TCP-level relay to the destination web server.

Citar
Siento Microsoft el propietario de Hotmail, dudo que usen el apache.

Aunque existen versiones win32 del httpd de Apache, tienes razón, dudo mucho que lo utilicen en los servers de Hotmail xDD


Saludos.
"The girl i love...she got long black wavy hair "

AlexaoJ

Cita de: whiteN0ise en  5 Agosto 2012, 20:05 PM
Perdón por contestar hasta ahora, no pensé que el hilo continuara.

Ese es el sentido de un ataque Man in the middle (ponerse en medio e interceptar el tráfico entre el destino y la víctima o entre ésta y aquél), es también la forma en como funcionan las redes IP que lo permiten. Cuando la máquina que ataca manda paquetes ARP reply a la víctima (envenenamiento del ARP caché) le hacen creer que ella es el router y que si quiere enviar paquetes de conexión a hotmail, los tiene que mandar a través de ella. La víctima actualiza su caché y pone la dirección MAC del atacante en lugar de la del router y le manda todos sus paquetes destinados a cualquier máquina fuera de la LAN mientras continue el envenenamiento, sea a hotmail o gmail o facebook.

Ahora bien, el atacante configura su equipo para que reciba el tráfico http de la víctima (todo el tráfico dirigido al bien conocido puerto tcp 80 discriminando todo lo demás que no le interesa) y efectivamente actuar como un router, procesa los paquetes en todo el camino de desencapsulamiento (trama, paquete, segmento), entra en escena sslstrip para hacer creer que es una conexión segura cuando no lo es y finalmente los encamina al verdadero router quien se encarga de mandarlos al servidor de hotmail.  

El equipo atacante se está haciendo pasar por el router que manda los paquetes de la víctima, fuera de la LAN al servidor de hotmail. Sólo se pone en medio para husmear los paquetes y hacerse de los pass, es decir nunca en este caso se encarga de contestar.

Como ya te expliqué la máquina atacante recibe paquetes dirigidos al puerto 80 porque ese puerto está asociado con el tráfico http de la víctima, no le interesa otro, y de hecho a través de esa configuración descartará todo lo demás que pueda venir de la víctima. En realidad el equipo atacante no tiene a la escucha ningún servidor web, sólo tiene una regla del cortafuego para aceptar tráfico dirigido al puerto 80, porque no desea recibir todo lo que venga del equipo al que se está atacando, a ver si ahora me entiendes mejor.

No entiendo bien a que te refieres.

Por supuesto en este caso particular es sólo el equipo que esté siendo atacado mediante el envenenamiento ARP el que manda paquetes al atacante. De regreso de hotmail los paquetes llegan al router, usa NAT y como éste no está siendo atacado con envenenamiento ARP sabe a que equipo mandarlos. Todo el ataque incluyendo el uso de sslstrip es para capturar información privada que iría dirigida a una aplicación http aunque el usuario crea que es https.
 

Si no hubiera ataque de envenenamiento ARP en la víctima y pudieras 'ver' los paquetes que pasan por el router efectivamente podrías ver el tráfico http, si fuera tráfico https iría cifrado. Pero recuerda un router tradicionalmente no está diseñado para 'ver' el contenido de los paquetes IP, sólo revisa la cabecera de éstos para tomar decisiones de por cual puerto físico encaminarlo(mapeando la dirección IP con sus tablas de rutas) o si encuentra un error en ella regresar un paquete de control (ICMP) al equipo que los mandó.

Saludos.



Buenas!Tuve unos problemitas con internet,voy a leer todo lo que me falta y contestar! Gracias!