Hardware Herramientas De Hackeo Internet Redes Ultimos Tutoriales

Tutorial de envenenamiento ARP (ataque MiTM)

Por nhbgm

El Protocolo de resolución de direcciones (ARP) es un protocolo sin estado para resolver direcciones IP en direcciones MAC de máquinas. Cada dispositivo de red de Internet que necesita comunicarse en la red transmite consultas ARP en el sistema para conocer la dirección MAC de otros dispositivos. Esto se conoce como envenenamiento por ARP y también como suplantación de identidad por ARP.

Para obtener más información sobre el envenenamiento por ARP, hemos utilizado EtterCAP para realizar un ataque de envenenamiento ARP en el entorno LAN utilizando el entorno virtual en el que hemos instalado Kali Linux y Ettercap para olfatear el tráfico local en LAN.

Cómo funciona el Protocolo de resolución de direcciones (ARP)

  • Cuando un dispositivo necesita comunicarse con otro a través de Internet, busca su tabla ARP.
  • Si la dirección MAC no está en la tabla, el ARP_request se transmite por la red.
  • Todas las máquinas en la red compararán esta dirección IP con la dirección MAC.
  • Si una de las máquinas en la red identifica esta dirección, entonces responderá a la ARP_request con su dirección IP y MAC.
  • La computadora solicitante almacenará el par de direcciones en su tabla ARP y se realizará la comunicación.

¿Qué es el envenenamiento ARP o ARP Spoofing?

Los paquetes ARP se pueden falsificar para enviar datos a la máquina del atacante.

  • La suplantación de ARP construye una gran cantidad de paquetes de solicitud y respuesta de ARP falsificados para sobrecargar el conmutador.
  • El interruptor está puesto en modo de reenvío y despues de la tabla ARP se inunda con respuestas ARP falsificadas, los atacantes pueden rastrear todos los paquetes de red.

Los atacantes inundan la memoria caché ARP de la computadora de destino con entradas falsificadas, lo que también se conoce como envenenamiento. El envenenamiento ARP utiliza el acceso Man-in-the-Middle para envenenar la red.

Envenenamiento por ARP y MiTM

El ataque Man-in-the-Middle (MiTM) implica un ataque activo en el que el adversario se hace pasar por el usuario real creando una conexión entre el objetivo y envía mensajes entre ellos. De esta forma, las víctimas creen que se están comunicando entre sí, pero en realidad, el atacante malintencionado (man in the middle) controla la comunicación. Algunos protocolos seguros como SSL sirven para prevenir este tipo de ataques.

Para comenzar, necesita las siguientes herramientas;

  • VMware Estación de trabajo
  • Sistema operativo Kali Linux o Linux
  • Herramienta Ettercap
  • coneccion LAN

Pasos a seguir

El ataque ARP es posible tanto en redes inalámbricas como cableadas. Puedes jugar este ataque en LAN local.

  • En primer lugar, instale la estación de trabajo/virtualbox de VMware en su máquina e instale el sistema operativo virtual Kali Linux.
  • Una vez que Kali esté instalado, inicie sesión en Kali virtual mahcine. El nombre de usuario y la contraseña predeterminados son raíz y también.
  • Asegúrese de estar conectado a la LAN local y verifique su dirección IP escribiendo el comando ifconfig en la terminal
  • Abre la terminal y escribe Ettercap –G para iniciar la versión gráfica de Ettercap.

  • Cuando se abra la interfaz gráfica, haga clic en la pestaña Oler de la barra de menú superior y seleccione olfateo unificado y pulsa Aceptar. vamos a usar eth0 lo que significa conexión Ethernet.
  • Clickea en el Hospedadores en la barra de menú superior y haga clic en Buscar hosts. Comenzará a escanear los hosts activos a través de la red para todos los hosts activos.
  • Ahora haga clic en el Hospedadores y elige Lista de anfitriones para ver el número de hosts disponibles. También muestra la dirección IP de la puerta de enlace predeterminada. Tenga cuidado de seleccionar el objetivo.
  • Lo siguiente es elegir el objetivo. En este entorno MiTM virtual, nuestro objetivo es la máquina host y la ruta será la dirección del enrutador para reenviar el tráfico. En el ataque MITM, el atacante intercepta la red y rastrea los paquetes. Entonces, agregaremos a la víctima como objetivo 1 y la dirección del enrutador como objetivo 2.

Nota: En el entorno virtual de VMware, la dirección de la puerta de enlace predeterminada siempre terminará en 2 porque el 1 está asignado a la máquina física.

  • En este escenario, nuestro objetivo es 192.168.121.129 y el enrutador es 192.168.121.2. Entonces agregaremos el objetivo 1 como IP de la víctima y objetivo 2 como IP del enrutador.
  • Ahora haga clic en MiTM y además envenenamiento por ARP. A continuación, marque la opción Detectar conexiones remotas y pulsa Aceptar.
  • Haga clic en Comienzo y seleccione Empezar a oler. Esto iniciará el envenenamiento de ARP en la red local, lo que significa que hemos habilitado la tarjeta de red en modo promiscuo y ahora el tráfico local puede ser capturado y rastreado.

Nota: Ettercap solo detecta paquetes HTTP. Los paquetes HTTPS seguros no se pueden olfatear.

  • Ahora, si la víctima inicia sesión en un sitio web. Puede ver sus detalles de inicio de sesión en los Resultados sobre la barra de herramientas de Ettercap.

Así es como funciona el envenenamiento ARP. Espero que haya entendido lo fácil que es olfatear los paquetes HTTP no seguros a través de la red con suplantación de identidad ARP.

El envenenamiento por ARP tiene el potencial de causar un gran daño a los entornos de las empresas corporativas. Para tales ataques y entornos, se designan piratas informáticos éticos para proteger las redes.