wireshark « Linux, Java y programación

sep, 17 2008 - 12:01 am

El ataque Man In the Middle [video tutoriales]

La verdad existe ya bastante información acerca de este fascinante ataque, pero me aventuro a proporcionar mi propia definición:

El ataque Man in the Middle (hombre en el medio), es una técnica de hacking cuya finalidad es situar al equipo atacante en medio del equipo víctima y el router. Esto es necesario puesto que en una red que funciona con un switch, los paquetes viajan directamente entre el equipo victima y el router, por lo tanto no basta con esnifar la red en modo promiscuo.

La manera en que el equipo víctima identifica el router, y viceversa, es usando el protocolo ARP, esto es: verificando la dirección MAC e IP de la tarjeta de red el otro equipo (en la tabla ARP).Siendo así, la técnica más común para llevar a cabo un ataque Man-in-the-middle es el ARP Spoofing, en la que el equipo atacante envenena la tabla ARP tanto del equipo víctima (haciéndose pasar por el router) como del router (haciéndose pasar como el equipo víctima), y por lo cual todos los paquetes que envíe o reciba dicho la víctima circularán a través de nuestra red.

No está demás aclarar que mientras tengamos bajo un ataque man inthe middle al PC víctima y al router, es necesario hacer un forwarding (reenvio) de paquetes. De lo contrario dejaríamos sin conexión a la víctima, lo cual es muy sospechoso.

¿Entendible? Puede que el tema sea algo duro de digerir al principio, puede que no sea bueno explicando cosas, puede que tú no tengas claros algunos conceptos, en todo caso ¿qué tal si miramos cómo funciona esto con algunos video tutoriales?

Pero antes, sería bueno que tuvieras claro el cómo funciona el protocolo ARP: Lectura fácil en la Wikipedia, y el bonito RFC 826 [aquí en español].

Video tutoriales

Ver el video 1 – Aquí se explican los conceptos básicos del ARP Spoofing (descargar)
Ver el video 2 – En donde se explica el uso del Ettercap para realizar un ARP Spoofing (descargar)
Ver el video 3 – En donde nos enseñan a detectar si estamos bajo un ataque ARP Spoofing (descargar)

¿A poco no son geniales? En los videos anteriores se utiliza Ettercap para realizar el ARP Spoofing. Por supuesto, existen otras maneras de hacerlo, y es lo que veremos a continuación.

ARP Spoofing y ataque Man In the Middle usando `dsniff` y `fragrouter`

Iba a escribir algo acerca de cómo hacer ARP Spoofing utilizando las herramientas dsniff (comando arpspoofing) y fragrouter, ambas en los repositorios de la mayoría de las distros. Afortunadamente Informático de Guardia me comentaba que él ya ha escrito acerca los ataques Man in the Mittle, y prescisamente usa dichas herramientas. Así que te invito a que leas en su blog acerca de ello: Ataque man-in-the-middle.

16 Comentarios | deja el tuyo

sep, 16 2008 - 10:55 am

[video tutorial] Usar tcpxtract para recuperar archivos capturados con Wireshark

Los paquetes que viajan por la red frecuentemente son trozos de archivos demasiado grandes para ser enviados completos; además, puesto que estos paquetes pueden ser de archivos binarios (imágenes, videos, ejecutables, etc.), no basta con buscar dentro del Wireshark información de los paquetes (no vamos a entender nada).

Esta entrada está acompañada con un video tutorial, en donde aprenderemos a reconstruir los paquetes capturados con Wireshark usando tcpxtract, de tal manera que podamos ver los archivos que envió y recibió el equipo víctima.

Antes de ver el video, observemos el proceso completo:

Capturamos los paquetes necesarios con Wireshark
Guardamos la captura en un archivo
Usamos tcpxtract para extraer los ficheros del archivo de captura

Puedes encontrar tcpxtract en los repositorios de tu distribución, por lo que en Debian o Ubuntu basta con ejecutar el siguiente comando:

sudo apt-get install tcpxtract

O descargar el código fuente y construirlo tu mismo:

tar xvzf tcpxtract-1.0.1.tar.gz
cd tcpxtract-1.0.1
./configure
make
sudo make install

Uso del tcpxtract

Ahora supongamos que el fichero de captura se llama captura; para extraer los archivos de la captura y guardarlos en la carpeta archivos_capturados ejecutamos el siguiente comando:

tcpxtract --file captura --output archivos_capturados

Es todo, sencillo pero eficaz. Podemos además utilizar el tcpxtract para escuchar directamente sobre una interfaz de red, con lo que nos ahorramos el uso del Wireshark, por ejemplo:

tcpxtract --device eth0 --output archivos_capturados

Si te preguntas porqué querría capturar los paquetes que envía y recibe nuestro propio equipo, tal vez estás ignorando que: cuando realizamos un ataque Man in the middle todos los paquetes que envía y recibe el equipo víctima pasan por nuestra interfaz de red.

Veamos ahora el video del tcpxtract en acción:

Ver el video (2,6 MB)

Descargar video

24 Comentarios | deja el tuyo

sep, 13 2008 - 12:01 am

Filtrando paquetes en Wireshark [video tutorial]

En este pequeño artículo aprenderemos a usar los filtros del Wireshark, de tal manera que una vez hayamos realizado las capturas pertinentes podamos buscar información específica. Este tema es algo extenso, y requiere sobre todo de mucha atención e imaginación. Por tanto he hecho un pequeño video donde aprenderemos a hacerlo!

La sinopsis del video ejemplo es la siguiente:

Capturamos los paquetes de nuestra propia conexión con el Wireshark
Nos logueamos en una página que use cifrado SSL (HTTPS) y otra sencilla (HTTP)
Usando los filtros del Wireshark buscamos el usuario y el password con el que nos logueamos