Documentos de Académico
Documentos de Profesional
Documentos de Cultura
4 Sniffings
4 Sniffings
LSI
2013-2014
Contenido
Sniffing
Herramientas de deteccin
ARP spoofing
Port Stealing
Sniffing
MEDIO COMPARTIDO
Legacy Ethernet
Legacy Ethernet
Dispositivos de
interconexin:
- repetidores
- hubs (rep. multipuerto)
Permiten aumentar el
tamao de las redes
Un dominio de colisin
Sniffing
MEDIO CONMUTADO
Ethernet Conmutado
10
Utilizacin de routers
Creacin de VLANs
11
Encaminador (router)
12
VLAN
Qu es una VLAN?
13
VLAN
...
14
VLAN
Ejemplo:
15
VLAN
Ejemplo:
trunk
Para unir VLANs que estn definidas en varios switches se puede crear un
enlace especial llamado trunk, por el que fluye trfico de varias VLANs
16
VLAN. Trunk
17
18
Y Wi-Fi?
Medio compartido
Utilizan Carrier sense multiple access with collision avoidance
(CSMA/CA)
Especialmente vulnerables
Seguridad:
WEP
WPA
WPA2
19
Problemas:
21
WPA2 (802.11i)
Desde 2006, todos los productos Wi-Fi Certified deben usar WPA2
22
Wi-Fi
Herramientas
Tcpdump
Wireshark
Ettercap
24
Herramientas. Tcpdump
Web:
http://www.tcpdump.org/
Instalacin (Linux):
25
Herramientas. Tcpdump
Ejemplos:
-- captura trfico tcp e imprime cada paquete en hexadecimal y ASCII (-X)
-- vv: verbose
-- protocolos soportados: fddi, tr, wlan, ip, ip6, arp, rarp, decnet, tcp y udp
tcpdump tcp -X -vv
26
Herramientas. Tcpdump
Ejemplos:
-- captura trfico tcp e imprime cada paquete en hexadecimal y ASCII (-X)
-- vv: verbose
-- protocolos soportados: fddi, tr, wlan, ip, ip6, arp, rarp, decnet, tcp y udp
tcpdump tcp -X -vv
-- captura trfico del puerto 80
tcpdump port http
27
Herramientas. Tcpdump
Ejemplos:
-- captura trfico tcp e imprime cada paquete en hexadecimal y ASCII (-X)
-- vv: verbose
-- protocolos soportados: fddi, tr, wlan, ip, ip6, arp, rarp, decnet, tcp y udp
tcpdump tcp -X -vv
-- captura trfico del puerto 80
tcpdump port http
-- enva la captura a un archivo (formato compatible con WireShark)
tcpdump -w capture.pcap
28
Herramientas. Tcpdump
Ejemplos:
-- captura trfico tcp e imprime cada paquete en hexadecimal y ASCII (-X)
-- vv: verbose
-- protocolos soportados: fddi, tr, wlan, ip, ip6, arp, rarp, decnet, tcp y udp
tcpdump tcp -X -vv
-- captura trfico del puerto 80
tcpdump port http
-- enva la captura a un archivo (formato compatible con WireShark)
tcpdump -w capture.pcap
-- lee un archivo de log
tcpdump -r capture.pcap
29
Herramientas. Tcpdump
Ejemplos:
-- captura trfico tcp e imprime cada paquete en hexadecimal y ASCII (-X)
-- vv: verbose
-- protocolos soportados: fddi, tr, wlan, ip, ip6, arp, rarp, decnet, tcp y udp
tcpdump tcp -X -vv
-- captura trfico del puerto 80
tcpdump port http
-- enva la captura a un archivo (formato compatible con WireShark)
tcpdump -w capture.pcap
-- lee un archivo de log
tcpdump -r capture.pcap
-- captura trfico con origen o destino 192.168.3.2
tcpdump host 192.168.3.2
30
Herramientas. Tcpdump
Ejemplos:
-- captura trfico tcp e imprime cada paquete en hexadecimal y ASCII (-X)
-- vv: verbose
-- protocolos soportados: fddi, tr, wlan, ip, ip6, arp, rarp, decnet, tcp y udp
tcpdump tcp -X -vv
-- captura trfico del puerto 80
tcpdump port http
-- enva la captura a un archivo (formato compatible con WireShark)
tcpdump -w capture.pcap
-- lee un archivo de log
tcpdump -r capture.pcap
-- captura trfico con origen o destino 192.168.3.2
tcpdump host 192.168.3.2
-- mostrar los paquetes ftp con el origen y destino indicados
tcpdump src 192.168.1.100 and dst 192.168.1.2 and port ftp
31
Herramientas. Tcpdump
Ejemplos:
-- captura trfico tcp e imprime cada paquete en hexadecimal y ASCII (-X)
-- vv: verbose
-- protocolos soportados: fddi, tr, wlan, ip, ip6, arp, rarp, decnet, tcp y udp
tcpdump tcp -X -vv
-- captura trfico del puerto 80
tcpdump port http
-- enva la captura a un archivo (formato compatible con WireShark)
tcpdump -w capture.pcap
-- lee un archivo de log
tcpdump -r capture.pcap
-- captura trfico con origen o destino 192.168.3.2
tcpdump host 192.168.3.2
-- mostrar los paquetes ftp con el origen y destino indicados
tcpdump src 192.168.1.100 and dst 192.168.1.2 and port ftp
-- capturar los paquetes dirigidos al puerto 22 que lleguen por la interfaz eth0
tcpdump -i eth0 port 22
32
Herramientas. Wireshark
http://www.wireshark.org/
Instalacin (Linux):
33
Herramientas. Wireshark
34
Herramientas. Wireshark
35
Herramientas. Wireshark
36
Herramientas. Wireshark
Ejemplos
Filtrado por IP
ip.src, ip.dst,
37
Herramientas. Wireshark
38
Herramientas. Wireshark
Expert Info
39
-P, --check-sniffers
40
Pequeo programa en C
http://downloads.securityfocus.com/tools/neped.c
41
Con ettercap
ettercap -T // -P search_promisc
42
Sniffing
43
ARP Spoofing
44
Source
Destination
Protocol
Info
HitronTe_44:55:66
Broadcast
ARP
HewlettP_b7:e9:28
HitronTe_44:55:66
ARP
192.168.0.5 is at 00:15:60:b7:e9:28
45
root@debian:/home/lsi# arp -a
? (10.10.102.4) at 00:90:fb:22:ff:95 [ether] on eth0
? (10.10.102.5) at 00:90:fb:22:ff:95 [ether] on eth0
? (10.10.102.27) at 00:1d:09:14:1e:7c [ether] on eth0
46
ARP Spoofing
Trudy lanza un ARP request a la dir. broadcast
preguntando por la MAC de la IP 192.168.0.1
(Gateway)
Proceso normal
192.168.0.1
47
ARP Spoofing
Trudy lanza un ARP request a la dir. broadcast
preguntando por la MAC de la IP 192.168.0.1
(Gateway)
192.168.0.1
spoof
Proceso normal
48
ettercap
Cain y Abel
suit Dsniff
49
ettercap
Instalacin en Debian
50
ettercap. Funcionalidades
OS fingerprinting pasivo
TELNET, FTP, POP, RLOGIN, SSH1, ICQ, SMB, MySQL, HTTP, NNTP, X11,
NAPSTER, IRC, RIP, BGP, SOCKS 5, IMAP 4, VNC, LDAP, NFS, SNMP,
HALF LIFE, QUAKE 3, MSN, YMSG
Terminacin de conexiones
Filtrado/borrado de paquetes
51
ettercap
Opciones:
-T
-C
-G
-q
-P list
-i <interface>
52
ettercap
/192.168.0.100/21-23
53
ettercap
54
ettercap
Esta opcin activa el ataque "Man in the Middle (MitM)". El ataque MitM
es totalmente independiente de la captura de trfico
55
arp ([remote],[oneway])
Una vez que la cach ha sido envenenada, las vctimas enviarn todos los paquetes al
atacante que, podr modificarlos y reenviarlos al destino real
"remote" es opcional. Se debe especificar si se quiere capturar trfico de una dir. IP remota
envenenando un GW. Si se especifica una vctima y el GW en los "targets", ettercap capturar
slo la conexin entre ellos, pero para permitir a ettercap capturar conexiones que pasan a
travs del GW, hay que usar este parmetro
"oneway" forzar a ettercap a envenenar slo desde TARGET1 a TARGET2. til si se quiere
envenenar slo el cliente y no el router (donde puede haber un monitor de ARP)
56
arp ([remote],[oneway])
Ejemplo:
57
58
59
Snort
60
Snort
Lanzar Snort:
61
-c, --check-arp-poisoning
62
Con ettercap
ettercap -T // -P arp_cop
ettercap -T // -P scan_poisoner
63
Con Wireshark
Puede que no lo detecte. En ese caso se puede buscar rastro del ataque filtrando
por protocolo: arp
Buscamos:
Un determinado host, est anunciando su MAC, pero ningn otro host realiza
peticin alguna
Un determinado host solicita una MAC y se observan dos respuestas: misma IP
pero con MACs diferentes
64
65
66
Qu es la tabla CAM?
Los switches mantienen una tabla que mapea direcciones MAC a puertos fsicos
de switch
Esto es lo que se conoce como tabla de asignacin o tabla CAM (ContentAddressable Memory) del switch
Esto permite al switch dirigir datos slo al puerto fsico en el que se encuentra el
destinatario (a diferencia de un HUB)
67
Cuando una trama llega a puerto fsico del switch, se aade una entrada,
especificando la MAC del equipo que envi la trama junto con el puerto por el
que entra
De esta forma, cuando el switch recibe una trama dirigida a ese equipo sabr
por qu puerto debe enviarla.
68
Todos los equipos recibirn la trama. Aquel cuya MAC coincida con la MAC
destino de la trama contestar. Esto permitir al switch registrar el puerto
asociado a esa MAC (nueva entrada en la CAM)
Gracias a esto, el switch no necesitar inundar (flood) todos los puertos con
futuros paquetes dirigidos a ese equipo
69
En los switches de gama baja, normalmente, las tramas que tengan una direccin
MAC destino no almacenada en la tabla CAM se retransmiten por todos los
puertos <- El switch se comporta como un HUB
Efectos
Un atacante puede conectarse a cualquier puerto del switch y capturar trfico que
no recibira en circunstancias normales
70
Ettercap
Plugin "rand_flood"
71
Macof
Ejemplo:
while (true); do macof -d 192.168.1.1 -n 10000; sleep 240; done
72
Port security
Aging time
73
Las tramas ARP tienen como MAC origen la MAC de la(s) vctima(s)
74
port ([remote],[tree])
Inunda la LAN con paquetes ARP (en base al parmetro port_steal_delay) con
el objetivo de robar el puerto del switch de cada vctima en la lista de hosts
Si se especifica "tree"
La MAC de destino ser una MAC falsa, de modo que estos paquetes sern
propagados a otros switches
Esto podra permitir robar puertos en otros switches en el rbol (si hay), pero
se genera una cantidad ingente de trfico
75
port ([remote],[tree])
Cuando se para el ataque, ettercap enviar un ARP request para cada host
robado, devolvindole sus puertos del switch
Ejemplos:
76
Otros ataques
DNS Spoof
ICMP redirection
DHCP Spoof
77
78
79
Qu es una sesin?
Tienen un identificador
80
http://www.sitio.com/%28X%281%29F%28iSji_itFJzJ9tZglJMvMyFw8v8-R4k0euN18LvcqPYXNA_ww1O6jVMReOBd4kI-3DM9w9PN3JXgqL2gp3oqjDqb3tk1%29%29/Default.aspx
http://www.sitio.com/myservlet;jsessionid=1E6FEC0D14D044541DD84D2D013D29ED
En una cookie
81
Session fixation:
Sidejacking:
El atacante establece el session id. P. ej: enviando un enlace que contiene el session id.
Cuando la vctima pincha en el enlace, se crea la sesin, con el identificador que conoce
el atacante. El atacante slo tiene que esperar a que la vctima se conecte
82
Pasos:
1.
83
Pasos:
1.
2.
84
Pasos:
1.
2.
3.
Buscar la cookie
Pasos:
1.
2.
3.
Buscar la cookie
4.
Se puede hacer
manualmente, pero existen
herramientas que facilitan
el trabajo (p. ej. Cookies
Manager+)
86
Pasos:
1.
2.
3.
Buscar la cookie
4.
5.
87
Mitigacin
88
Bibliografa recomendada
89