Man In The Middle

sephirothff15 · 12 Abril 2015, 16:02 PM

Hola a tod@s.

Hoy he estado probando la aplicación Wireshark y Ettercap. He creado máquinas virtuales en mi ordenador para poder filtrar la de una de ellas. Me he dado cuenta que sólo utilizando Wireshark ya capturo paquetes de otra IP de una de esas máquinas virtuales.

¿Podéis decirme la razón? ¿Puede ser por que son máquinas virtuales y utilizan el mismo adaptador de red?

¿Para que es exactamente el ataque Man In The Middle si ya capturo paquetes de otras IPs con Wireshark?

Gracias a tod@s. Un saludo.

engel lex · 12 Abril 2015, 16:05 PM

Citar¿Podéis decirme la razón? ¿Puede ser por que son máquinas virtuales y utilizan el mismo adaptador de red?

si

Citar¿Para que es exactamente el ataque Man In The Middle si ya capturo paquetes de otras IPs con Wireshark?

para averiguar que hay en esos datos, desviar al usuario o inyectar datos falsos, entre otros

sephirothff15 · 12 Abril 2015, 17:32 PM

Gracias por contestar.

Estoy trabajando bajo Windows XP y tengo Ettercap y Wireshark. Utilizo Ettercap para escanear la red y seleccionar el objetivo 1 (el router) y el objetivo 2 (la víctima - en este caso mi tablet) y finalmente aplico el ARP poisoning y escaneo. Veo los datos bajo Wireshark.

Pero tengo un problema: en el momento que utilizo ARP poisoning dejo a la víctima sin conexión a Internet. Además, pasados unos segundos o unos minutos Ettercap se cierra inesperadamente.

¿Por qué dejo a la víctima sin conexión a Internet? ¿Porque se me cierra Etercap? ¿Le pasa lo mismo a alguien?

Thanks!!

engel lex · 12 Abril 2015, 17:39 PM

sabes que es ARP poisoning o de que se trata?

sephirothff15 · 12 Abril 2015, 17:43 PM

Para envenenar su tabla ARP y que mi equipo funcione como un router (La MAC del router es cambiada por mi MAC) para que el tráfico pase por mi. Cuando él solicita una web, su solicitud pasa por mi equipo y es mi equipo quien la gestiona, así es como puedo quedarme con todo el tráfico (¿no?).

Lo que no entiendo es que si mi equipo está conectado a Internet y puede gestionar esas peticiones porque no se las gestiona a mi Tablet para que pueda acceder a Internet.

engel lex · 12 Abril 2015, 17:47 PM

porque probablemente no le has indicado eso, tu equipo está recibiendo peticiones al azar de otro equipo y como no tiene ningún programa que le diga que hacer en ese caso (y por seguridad), no hace nada, tu equipo no es un router, es un pc, busca como hacer para que tu pc rutee las conexiones entrantes

sephirothff15 · 12 Abril 2015, 18:12 PM

He habilitado el IP Forwarding desde el registro de Windows XP pero me sigue ocurriendo lo mismo.

¿Sabéis de algún programa o de alguna otra forma?

kub0x · 12 Abril 2015, 18:22 PM

Ettercap-ng no funciona nada bien en Win$ (me ha pasado lo que tu dices cientos de veces hace años) te recomiendo que hagas pruebas con una distro Linux, preferiblemente Kali Linux ya que trae un abanico de herramientas listas para usar. Según lo que dices (no puedes dar servicio a equipos de tu red) es muy posible que tumbes la red en algún momento dejando sin servicio a todos los equipos.

En el caso de las máquinas virtuales, si te pones a la escucha con Wireshark en el equipo principal que hostea las VM entonces podrás ver todo el tráfico generado por éstas ya que saldrían por la interfaz asociada a tu IP privada, es decir, comparten el adapter.

Si al final te decantas por la opción de GNU/Linux te recomiendo la suite dsnsniff + ARPSpoof para completar ataques MITM activos, de esta forma podrás registrar el tráfico de red y manipularlo (sino sería un ataque pasivo, con ARPSpoof). Un detalle, a la técnica de modificar paquetes y reenviarlos se le llama TCP Hijacking ya que estarías manipulando los nº de secuencia capturados.

Saludos.

sephirothff15 · 12 Abril 2015, 18:31 PM

Cita de: kub0x en 12 Abril 2015, 18:22 PM
Ettercap-ng no funciona nada bien en Win$ (me ha pasado lo que tu dices cientos de veces hace años) te recomiendo que hagas pruebas con una distro Linux, preferiblemente Kali Linux ya que trae un abanico de herramientas listas para usar. Según lo que dices (no puedes dar servicio a equipos de tu red) es muy posible que tumbes la red en algún momento dejando sin servicio a todos los equipos.

En el caso de las máquinas virtuales, si te pones a la escucha con Wireshark en el equipo principal que hostea las VM entonces podrás ver todo el tráfico generado por éstas ya que saldrían por la interfaz asociada a tu IP privada, es decir, comparten el adapter.

Si al final te decantas por la opción de GNU/Linux te recomiendo la suite dsnsniff + ARPSpoof para completar ataques MITM activos, de esta forma podrás registrar el tráfico de red y manipularlo (sino sería un ataque pasivo, con ARPSpoof). Un detalle, a la técnica de modificar paquetes y reenviarlos se le llama TCP Hijacking ya que estarías manipulando los nº de secuencia capturados.

Saludos.

Muchas gracias figura. Estoy ya descargando Kali Linux. Voy a instalarlo y a realizar pruebas. Te voy contando.

Muchas gracias a angel lex por su preocupación.

Un saludo a los dos.