MITM

Pirat3net · 23 Julio 2011, 23:56 PM

hola,
alguien sabe a que es debido , que cada vez que ago mitm, cierro el soft con el que este haciendolo, y automaticamente el pc "victima" se me queda sin conexion hasta que reinicio el router.
supongo que esto sea debido a que no estoy cerrando bien el mitm y las tablas ip-mac se quedan pescando.
si es asi. como se deshace bien el mitm? modifico las tablas a mano o que?
otra cosa. he probado cain recientemente pa ver si era tan magico como decian pero de pillar passwords nanai, tenia el mitm hecho, captura de trafico con el Wiresh ark , y el mitm era correcto, FULL-arp poison, quiza sea por las reglas del firewall, que nada mas arrancar el cain me daba mensaje de que podria no funcionar correctamente con el firewall activado

madpitbull_99 · 24 Julio 2011, 15:00 PM

Seguramente el programa desde el que realizas el MITM envía demasiadas veces la IP y el ordenador víctima la guarda como el gateway por defecto.

En Ettercap hay algunos ajustes que puedes hacer, como:

Código [Seleccionar]

[mitm]
arp_storm_delay = 10 # milliseconds
arp_poison_warm_up = 1 # seconds
arp_poison_delay = 10 # seconds
arp_poison_icmp = 1 # boolean
arp_poison_reply = 1 # boolean
arp_poison_request = 0 # boolean
arp_poison_equal_mac = 1 # boolean
dhcp_lease_time = 1800 # seconds
port_steal_delay = 10 # milliseconds
port_steal_send_delay = 2000 # microseconds

[connections]
connection_timeout = 300 # seconds
connection_idle = 5 # seconds
connection_buffer = 10000 # bytes
connect_timeout = 5 # seconds

Resumiendo, la idea es si puedes ponerle un tiempo menor al TTL. Haciendo un flush de las tablas en el otro ordenador, debería funcionar:

Código [Seleccionar]


netsh interface ip delete arpcache

En unos 20 minutos, en teoría, las tablas se reinician, aunque depende de muchos factores.

Otra cosa, supongo que estas usando maquinas virtuales, haciendo pruebas a mi también me ha dado problemas.

int_0x40 · 24 Julio 2011, 15:07 PM

Nada más como caso de estudio. Al spoofear la dirección de la puerta de enlace para que el tráfico del otro PC pase por el tuyo le estás diciendo que tu eres el router, falsamente por supuesto y tu equipo mandará sus paquetes posteriormente al verdadero. Entonces debes detener el envenenamiento ARP para que el otro equipo sepa después nuevamente dónde está su verdadera puerta de enlace y salir al Internet.

Lo de las pass depende de varios factores pero si todo lo hiciste correctamente, al menos las que viajan en texto plano deberían aparecer en la pestaña correspondiente del Caín. Las que vienen cifradas depende del manejo del certificado falso, del tipo y versión del browser y del comportamineto del usuario.

Nota: una disculpa, no ví que ya te habían contestado.

Saludos.

Pirat3net · 24 Julio 2011, 23:06 PM

n outiliza ettercap, y tampoco es una maquina virtual , es el pc de mi hermano que me mata si se entera que utilizo su pc pa pruebas xD,

en cuanto al nersh para borrrar cache arp, lo tendria que ejecutar en la maquina "victima", pero aun asi, el router seguiria con la tabla trastocada, dices que tarda unos 20 min en que el router corrija la tabla, y si ago que la "victima"mande respuestas arp muy seguidas aunque no reciba el paquete arp del router, ¿no se deberia corregir en 1 minuto como mucho?

si es asi, como se hace desde netsh?,
otra cosa ya que estamls con el netsh
el comando exec, dice que ejecuta scripts, pero yo ya puedo ejecutar mis scripts con doble click xD, en que situaciones se usa?remotamente quizas?

madpitbull_99 · 24 Julio 2011, 23:20 PM

Citar
si es asi, como se hace desde netsh?,

Te lo puse en el mensaje anterior.

Código [Seleccionar]

netsh interface ip delete arpcache

Citar
el comando exec, dice que ejecuta scripts, pero yo ya puedo ejecutar mis scripts con doble click xD, en que situaciones se usa?remotamente quizas?

El comando netsh exec normalmente se usa para cargar dumpeos de la configuración de red.

Primero haces el dump/backup con netsh dump net_conf.dmp

Y después lo cargas con netsh exec net_conf.dmp

Como ya habrás visto, se refiere a otro tipo de scripts.

Pirat3net · 25 Julio 2011, 01:13 AM

creo que me estoy explicando mal madpitbull, con el delete arpcache estaria borrando la lista mac-ip, pero igualmente el router la tendria todavía envenenada,
yo lo que busco es la manera de mandar respuestas a paquetes ARP desde el pc "victima" sin que el router aya preguntado, algo asi como un envenenamiento ARP, pero para desenvenenar xD

gracias por la ayuda madpitbull

otra cosa, ya que estamos con los mitm,
suponiendo que necesite analizar el trafico de un pc fuera de mi red local,
(lo probaria pero mis colegas no me dejan " probar " con sus pcs porque dicen que "lme metes virus", la manera que se me ocurre es hacer una vpn, suponiendo que yo sea el cliente de la vpn, cuando hago una peticion de un servidor web, los paquetes irian desde mi pc a mi router y luego al servidor, o pasarian por mi router, luego por el router del servidor vpn , y luego por el servidor web? lo digo porque si es de la primera forma, el mitm no seria viable asi , creo yo , no?

madpitbull_99 · 25 Julio 2011, 11:12 AM

Al estar en una VPN todos los paquetes pasarían por el servidor que gestiona la VPN.

Pirat3net · 26 Julio 2011, 04:08 AM

Ahhh mirando lo del netsh acabo de caer que estaba liado XDDDD

fue ahora cuando vi lo de netsh IP xD puedo borrar con eso no solo el arp cache de mi maquina sino el de la maquina que quiera a demas de la del router supongo xDDD
lque gran paciencia la tuya madpidbull para responderme lo mesmo tres veces y seguir sin verlo xD
se agradece muchisimo