Saludos, Les voy a explicar una técnica de Sniffing bastante Fácil y sencilla tanto de Ejecutar como de aprender.
Primero que nada.. ¿Qué es "Sniffing"?
La traducción Literal al español de "Sniffing" es "Olfatear" ó "Husmear", por ejemplo, Un "Sniffer Dog" es un Perro entrenado para detectar Explosivos´, drogas, etc. A través de su olfato (Sí, como un sabueso), pues eso es precisamente lo que vamos a hacer, "Husmear y Olfatear" pero no Explosivos ni drogas :badgrin: sino Paquetes que viajan a través de la red.
El Ataque MITM "Man In The Middle" ("Hombre en el Medio" en español), consiste en "Interceptar" ó "Atravesarnos" entre la conexión que establece la víctima con un Router, Servidor, Etc. Usurpando la identidad del Router y Haciendo que los paquetes que envíe la víctima al Router, pasen primero por nosotros y nosotros los reenviaremos a sus destinatarios, enterandonos así de TODO lo que se envía entre esos 2 entes, cosas como Passwords, Páginas, Datos, etc.
Para entenderlo más facilmente, veamos las imágenes:
En una conexión normal entre Un ordenador y su Router, el contexto sería así:
Vemos que el Pc1 se conecta al Switch, éste directamente al Router (Gateway ó Puerta de enlace), y el Router va directamente hacia Internet.
Todo bien, pero ¿Cómo se vería un "Hombre en el Medio"?
Veamos:
Aquí vemos que la Pc1 se conecta con el Switch, y éste, pensando que nosotros somos el Router, se conecta con nosotros, nosotros recibimos los paquetes que envió Pc1 y se los mandamos al Router y viceversa.
¿Se dará cuenta Pc1 que está "Interceptado" por alguien?
NO, ni se lo imaginará...
¿Cómo funciona éste Ataque?
Por ARP Poisoning ó "Envenenamiento ARP", me explico:
ARP significa "Address Resolurion Protocol" ó "Protocolo de resolución de Direcciones",
Funciona mediante una tabla, en la cuál se guardan momentáneamente las direcciones IP y su Respectiva dirección MAC, Digo "Momentáneamente" porque está en constante "Refrescamiento" ó "Actualización".
Lo que hacemos es "decirle" a la Tabla ARP de la Víctima que la dirección IP del Router, corresponde a nuestra dirección MAC, por lo tanto, todos los paquetes que envíe nos los enviará a nosotros creyendo que somos el Router, ésto también es conocido como "ARP Spoofing".
Bien, Una vez hemos entendido cómo funciona el Ataque, pongamos ¡Manos a la obra!
Para realizar ésta práctica, necesitaremos un Sniffer, para ésta ocación utilizaremos Ettercap en su versión 0.7.3 para Windows, la cuál pueden conseguir Aquí .
Una vez descargado, debemos Instalarlo al igual que Winpcap (El Instalador ya lo trae y lo que hay que hacer es Aceptar instalar Winpcap), y es Altamente recomendable reiniciar el Pc para que Ettercap pueda detectar nuestras Interfaces de Red como es debido.
Okay, Ya listo todo este proceso, vámonos a Inicio/Todos los Programas/ Ettercap NG y abrimos nuestro Ettercap.
Bien, una vez abierto, nos vamos a la Pestaña Sniff, le damos Click y seleccionamos la Opción "Unified Sniffing..."
Nota: En caso de que tengamos 2 Interfaces de red, debemos seleccionar "Bridged Sniffing..." Es decir, para realizar una conexión "Puenteada".
Nos saldrá una ventana llamada "Ettercap Input", ahí seleccionamos la Interfaz de Red por la cual vayamos a "Husmear" (Sniff), y clickeamos en "Ok".
Hecho ésto la apariencia de Ettercap cambiará y nos mostrará todas las Opciones, Nosotros seleccionaremos la pestaña "Hosts" y luego "Scan for Hosts.."
Nos saldrá una Ventana indicándonos que Ettercap está Scaneando por Hosts existentes en la Red, pues Esperemos...
Un tiempo después, Ettercap termina de Scanear nos dirijimos a la Pestaña "Hosts" y luego a "Hosts list", ahí debemos seleccionar la dirección IP del Router (La Puerta de Enlace, el Gateway) y luego darle click al botón "Add to Target 1".
¿Qué? ¿Y cómo sé yo cuál es la Dirección IP de mi Router?
Fácil, ve a INCIO/EJECUTAR... y escribe CMD , dale click a Aceptar y se abrirá una Shell (Intérprete de comandos, MS-DOS, Ventanita negra), en ella escribe el comando IPCONFIG y pulsa Enter.
Verás algo así:
C:\Documents and Settings\Usuario>IPCONFIG
Configuración IP de Windows
Adaptador Ethernet Conexión de área local:
Sufijo de conexión Específica DNS : Cantv.net
Dirección IP ............................... : 192.168.0.30
Máscara de Subred...................... : 192.168.0.0
Puerta de enlace Predeterminada..: 192.168.0.1 <-- Esta es--<
Okay, agregamos la dirección ÌP del Router a "Add to Target 1" y Ahora buscamos en esa misma lista la dirección IP de nuestra víctima, una vez la encontremos, la seleccionamos y clickeamos sobre "Add to Target 2"
Estamos listos, Ya tenemos el MITM casi configurado, ahora empecemos a Sniffar la Red, para eso nos vamos a la pestaña "Start" y seleccionamos "Start Sniffing".
Pero aquí no termina... Ahora necesitamos "Envenenar" las Tablas ARP de nuestra Victima, para eso nos dirigimos a la pestaña Mitm y luego a "ARP poisoning..." seleccionamos "Sniff remote connections" y a "Olfatear" se ha dicho... :lol:
Ya hemos envenenado la Tabla Caché de nuestra víctima, Ahora TODO lo que Pc1 le mande al Router, nos llegará a nosotros, y podremos verlo en la Parte de Texto de Ettercap, luego Ettercap Automáticamente le envía los paquetes al Router y viceversa, Ahora supongamos que la víctima se conecta a un Servidor Ftp, ¿Qué veremos Nosotros?
Jaja ¡Voilá!
Nota: Obviamente no nos Interesa la Conexión Anónima al FTP, pero es sólo un Ejemplo, deja tu mente volar..
Una vez terminado el Ataque, debemos Pararlo, porque sino ocasionaríamos un D.O.S., para eso vamos a la pestaña "Mitm" y luego a "Stop Mitm Attack(s)", ésto detendrá el ataque, luego nos aparecerá una Ventana informándonos que el Ataque ha sido detenido.
Clickeamos OK.
Detenemos el Sniffing, para eso vamos a "Start" y luego a "Stop Sniffing" y lísto, ya con los Passwords en nuestro poder, podemos Cerrar nuestro Ettercap.
Para Passwords de Hotmail, Msn, etc exísten otros Sniffers tales como Caín, ya que los Passwords salen Encriptados (Encrypted), Averigüa, Investiga...en otro momento enseñaré a Sniffar por él.
Espero que les sirva, ¡Saludos!
Entradas
No hay comentarios:
Publicar un comentario