Este ataque es uno de los mas viejos y de los mas utilizados , en pocas palabras MITM es una ataque en el cual un intruso puede llegar a interceptar , leer y modificar un mensaje enviado entre 2 partes sin que el emisor o receptor se de cuenta de lo que esta pasando.
 | |||
| Envenenamiento ARP |
Una de las formas mas habituales de realizar este ataque es utilizando un router WIFI para interceptar las comunicaciones de los usuarios, para nuestro amado linux existen varias herramientas para realizar el ataque como ser :
- arpspoof
- Ettercap
- SSLstrip
- Cain (Windows)
La técnica consiste en enviar paquetes ARP falsos , con la finalidad de asociar la dirección MAC del intruso con la dirección IP
de otro nodo (la victima), como por ejemplo la puerta de enlace
predeterminada ,proxy Transparente , router Wifi.
Cualquier paquete (datos o información) que sea enviado a la puerta de enlace o router podría ser interceptado y modificado por un intruso, en lugar de ser recibido por el receptor real.
El intruso, dependiendo de lo que que quiera o necesite hacer puede reenviar el trafico (ataque pasivo) , o modificar los datos antes de reenviarlos (ataque activo).
Se puede crear un tipo de ataque de Denegacion de Servicio (D.O.S) el atacante podria asociar una dirección MAC que no existe a la IP de la puerta de enlace de la victima
 |
| Herramienta Arpspoof |
Una forma de mitigar este ataque es utilizando tablas ARP estáticas agregar las entradas estáticas ARP,de esta forma no se podria envenenar la cache de las tablas (dinámicas) cada entrada de la tabla mapea una dirección MAC
con su correspondiente dirección IP.
Esta no es una
solución práctica (ni optima), sobre todo en redes grandes, el esfuerzo de mantener actualizadas las tablas
ARP (MAC & IP) != DHCP fail!
Muy bien ya que entramos en la teoría, estamos listos para pasar a la practica con las distintas herramientas y "escenarios" que se pueden presentar.
No hay comentarios:
Publicar un comentario