El ataque Man In the Middle [video tutoriales]
La verdad existe ya bastante información acerca de este fascinante ataque, pero me aventuro a proporcionar mi propia definición:
La manera en que el equipo víctima identifica el router, y viceversa, es usando el protocolo ARP, esto es: verificando la dirección MAC e IP de la tarjeta de red el otro equipo (en la tabla ARP).Siendo así, la técnica más común para llevar a cabo un ataque Man-in-the-middle es el ARP Spoofing, en la que el equipo atacante envenena la tabla ARP tanto del equipo víctima (haciéndose pasar por el router) como del router (haciéndose pasar como el equipo víctima), y por lo cual todos los paquetes que envíe o reciba dicho la víctima circularán a través de nuestra red.
No está demás aclarar que mientras tengamos bajo un ataque man inthe middle al PC víctima y al router, es necesario hacer un forwarding (reenvio) de paquetes. De lo contrario dejaríamos sin conexión a la víctima, lo cual es muy sospechoso.
¿Entendible? 
Puede que el tema sea algo duro de digerir al principio, puede que no sea bueno explicando cosas, puede que tú no tengas claros algunos conceptos, en todo caso ¿qué tal si miramos cómo funciona esto con algunos video tutoriales?
Pero antes, sería bueno que tuvieras claro el cómo funciona el protocolo ARP: Lectura fácil en la Wikipedia, y el bonito RFC 826 [aquí en español].
Video tutoriales
Los siguientes tres video tutoriales axplican en detalle cómo funciona el ARP Spoofing; y fueron creados por Miguel Angel Calvo (todos los derechos reservados):
- Ver el video 1 – Aquí se explican los conceptos básicos del ARP Spoofing [descargar]
- Ver el video 2 – En donde se explica el uso del Ettercap para realizar un ARP Spoofing [descargar]
- Ver el video 3 – En donde nos enseñan a detectar si estamos bajo un ataque ARP Spoofing [descargar]
¿A poco no son geniales? En los videos anteriores se utiliza Ettercap para realizar el ARP Spoofing. Por supuesto, existen otras maneras de hacerlo, y es lo que veremos a continuación.
ARP Spoofing y ataque Man In the Middle usando dsniff y fragrouter
Iba a escribir algo acerca de cómo hacer ARP Spoofing utilizando las herramientas dsniff (comando arpspoofing) y fragrouter, ambas en los repositorios de la mayoría de las distros. Afortunadamente Informático de Guardia me comentaba que él ya ha escrito acerca los ataques Man in the Mittle, y prescisamente usa dichas herramientas. Así que te invito a que leas en su blog acerca de ello: Ataque man-in-the-middle.
9 Comentarios | deja el tuyo
Hola saludos desde México
tienes muy buen material en tu sitio web me gusta tomar tu sitio como referencia para hacer varias cosas en Java y vi el tutorial del wireshark y fue como llegué a este ataque de Man in the Middle,
muchas gracias por todo el conocimiento que nos compartes por este medio, me gustaría hacerte una pregunta acerca de esto del ARP-Spoofing ¿Sabes si hay alguna forma de defenderte del ARP-Spoofing cuando sabes que te están atacando con el ataque Man In the Middle? te agradecería mucho tu respuesta y gracias de antemano.
En el video 3 se explica eso:
http://casidiablo.net/videotutoriales/arpwatch.htm
Un saludo!
mira el primer video no esta para descargar, sera que lo podes arreglar para que lo pueda almacenar a mi coleccion
Corregido Shocker, gracias por avisar.
En la actualidad estos ataques siguen siendo viables? es decir.. cualquier red es vulnerable a esto hoy 26/9/09?. Pregunto porque los videos tienen fecha del 2007 si no me equivoco.
Saludos!
Hola @Matias.
Por supuesto es viable… no se trata de una vulnerabilidad, sino de utilizar de cierta manera los estándares de comunicación de TCP/IP.
En conclusión, mientras se siga usando TCP/IP se podrán hacer este tipo de ataques.
Un saludo.
Desde el punto de vista de las redes empresariales hay distintas formas de prevenir estos ataques aplicando seguridad a los switches, ya que básicamente man in the middle, arp spoofing explotan el modo de funcionamiento del ARP reply (Capa 2) . DAI (dynamic ARP inspection) es una tecnologia de los switches Cisco q previenen este tipo de ataques, pero tb DHCP snooping…