Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Cuando hablamos de sniffers nos estamos refiriendo a aplicaciones que son capaces de
hacer que la tarjeta de red entre en lo que se denomina modo promiscuo es decir que van
a aceptar, van a capturar cualquier tráfico y cualquier paquete que pase por ella.
Los tipos de paquetes que muestra wiresharks son: Multicast, Menbership, IPv6, Router,
Standartr.
El modo de funcionamiento por defecto de una tarjeta de red es aceptar solamente los
paquetes que van dirigidas a ellas, su dirección Mac o van en difusión.
El tipo de tráfico que llega a todos los hosts de una red, es el tráfico de Difusión; ya que
por más que se envié información a una sola máquina, de igual manera llegara a todas las
demás que estén conectadas al mismo switch.
Consiste en engañar a las maquinas que queremos vigilar para que nos envíen a nosotros
como atacantes el tráfico.
Este protocolo funciona enviando un pin a través de difusión para buscar la Mac de
destino de la máquina que desea saber la información.
El sistema Atacante, que se debe encontrar en la misma red que la víctima, va a conseguir
que el flujo de tráfico anterior se transforme.
El atacante conseguirá de esta forma colocarse en medio del tráfico pudiendo examinar
todo lo que acontece entre la máquina Víctima y el Gateway.
El Ettercap trabaja poniendo interfaz de red en el modo promiscuo y por ARP que
envenena las maquinas objetivo. Así puede servir de un hombre en el medio y soltar
varios ataques contra víctimas. Ettercap tiene el apoyo enchufable de modo que los rasgos
se puedan ampliar añadiendo nuevos enchufes e unión.
Para utilizar Ettercap el atacante debe estar dentro de la LAN, ya que este envía los
mensajes ARP Spoofed o falsos por medio de la Red Local Interna. Se denomina Sniffing a
la técnica utilizada para capturar todo el tráfico generado en una red local, esto incluye las
conexiones propias y de los demás equipos.
El Man In the Middle (MITM), es una técnica en la que el atacante actúa como
intermediario entre dos hosts para poder leer, insertar y modificar a voluntad el tráfico
entre las dos máquinas, sin que ninguna de las dos se dé cuenta de que se está haciendo.
Sirve también como medio para realizar otros ataques.
Funciona envenenando la caché ARP de los host para hacerles creer que nuestra dirección
física (MAC) es a la que deben enviar información.
Si ya contamos con una distribución de Kali podemos usarla para realizar este ataque
mediante Ettercap que viene instalado, o podemos instalar Ettercap en una distribución
de Linux.
MAN IN THE MIDDLE ejecutado a través de Ettercap:
12) Describa el uso de Ettercap para lograr un MAN IN THE MIDLE.
Si utilizamos el Ettercap podemos lograr un Man In The Middle, este ataque para
interceptar tráfico entre dos máquinas de una red para luego analizarlo. Estos ataques son
útiles para muchas cosas, podemos usarlo para probar la seguridad de nuestra red y la de
aplicaciones; interceptar contraseñas enviadas en texto plano y nombres de usuario.
También, se puede usar filtros y plugins como colectores de contraseñas en muchos
protocolos, como el FTP entre otros.
FTP es un protocolo seguro que todo lo envía en plano, y ettercap ha sido capaz de
determinar que el usuario es curso y la contraseña es seguridad que se tenía configurada.
Además, en el Wiresharks vemos todo el tráfico FTP que se ha intercambiado entre el
origen y el destino. Una vez encontrado el tráfico FTP debemos reconstruir la sección de
ese tráfico simplemente pulsando el botón derecho “Follow TCP Stream”, y vemos que el
Wiresharks ha sido capaz de capturar el contenido del archivo importante TCP Stream que
se estaba enviado a través de la red, todo desde una máquina como Kali Linux que
inicialmente no hubiese tenido que recibir ese tráfico porque se encuentra en un puerto
de switch diferente y con esta demostración hemos visto lo inseguro que es un tráfico FTP,
TCP, HTTP y muchos otros tráficos que intercambiamos en internet. Este tipo de ataques
está basado en ARP Spoofing que puede funcionar dentro de la red local puesto que el
tráfico FTP, es un tráfico que se envía en difusión a cualquier router lo que haría ese
tráfico, en cualquier caso hay que tener en cuenta ese tipo de ataques aunque solamente
puedan llevarse a cabo dentro de una red local porque precisamente la red local es donde
podemos encontrarnos con muchos problemas de seguridad que no hubiésemos previsto.