Autor
Probad en una consola a escribir "arp -a". Os aparecerá algo como esto:
? (192.168.1.1) at 0:23:f8:a0:6c:a9 on en1 [ethernet]
? (192.168.1.36) at 0:24:1d:87:6c:41 on en1 [ethernet]
(192.168.1.1) --> este campo es la direccion IP de la maquina (en este caso del router)
0:23:f8:a0:6c:a9 --> esta es la direccion MAC (unica en cada dispositivo de red del mercado)
Primero deberiamos envenenar la tabla ARP de los host a los cuales vamos a hacer el ataque
Una explicacion cortita al margen: (para que se entienda un poquito
)Al conectar un ordenador o un router a una red, este no conoce la direccion fisica (MAC) de el resto de componentes de la red.
Si un router o switch recibe un paquete para alguien de su red, y este no conoce la direccion fisica del destinatario, envia un mensaje a todos los dispositivos conectados a el (broadcast), excepto por el cual recibió el paquete, para reconocerlo y apuntar su direccion en su tabla ARP.
Una vez almacenado, este actualizará la tabla cada cierto tiempo con un tipo especifico de paquete.
(lo estoy explicando sencillito para que se entienda, que no me mate nadie
)Realizando el envenenamiento ARP (arp poisoning/spoofing):
Para entenderlo bien, mejor googlear un poco.
A grandes rasgos, consiste en enviar un numero elevado de peticiones ARP falsas a la victima con la esperanza de que cambie su tabla arp para colocar nuestra MAC en lugar de la del router/switch.
Con esto, conseguimos que todo el trafico que la victima quisiera enviar al router para salir a internet, tenga que pasar obligatoriamente por nuestro ordenador, y nosotros lo reenviamos al router-switch.
Documentacion: http://es.wikipedia.org/wiki/ARP_Spoofing
Realizando el ataque DNS (DNS Poisoning):
Una vez conseguido el envenenamiento de ARP podemos capturar los paquetes que la victima este lanzando, y a su vez, modificar el contenido de estos a nuestro gusto (tentador verdad?
. De este modo, podemos hacer que si la victima quiere visitar www.microsoft.com, podemos cambiar el contenido del paquete para que se redirija a www.petardas.com por ejemplo, y la victima no se enteraria.
Documentacion: http://es.wikipedia.org/wiki/DNS_Poisoning
- Bueno, cabe decir que no intenteis esto si no sabeis bien lo que haceis en lugares publicos que puedan estar vijilados por un administrador, ya que el envenenamiento ARP produce mucho trafico y muy vistoso a los ojos de un admin. Hacerlo en casa, por probar, puede ser divertido ^^
- Para este tipo de ataques hay varios programas y bastante sencillos de manejar, yo, personalmente, recomiendo ettercap para empezar (preferiblemente en linux)
En estos videos se explica con bastante claridad el uso de ettercap y algunos de sus ataques (entre ellos DNS_spoof)
http://www.youtube.com/watch?v=o37rc97xdj8
http://www.youtube.com/watch?v=vS9v0poMr3s
http://www.youtube.com/watch?v=YOG9aMDyCwI
Bueno, edito para comentar otro tipo de resolucion de DNS falsa.
En este caso consiste unicamente en modificar el archivo hosts de la maquina (el como hacerlo lo dejo a vuestra eleccion ^^).
En maquinas Windows se encuentra en "C:\Windows\System32\drivers\etc\hosts" y tiene un aspecto parecido a este: (sacado de wikipedia por que estoy en un Mac ahora mismo XD)
#Ejemplo de archivo hosts
#Definición de localhost
127.0.0.1 localhost
#Correspondencia para una página web
209.85.229.104 www.google.es
#Dominios de Internet bloqueados
255.255.255.0 www.paginabloqueada1.com www.paginabloqueada2.com
255.255.255.0 www.paginabloqueada3.com
Modificando los valores en esta tabla, el host no enviara una peticion de resolucion de nombre (peticion DNS) por que ya conocerá de antemano la direccion de esta.
Este archivo es modificable mediante el bloc de notas o cualquier editor de textos. Un "virus" o aplicacion que modifique este archivo puede hacer redirigir el trafico a donde nosotros queramos.
- Este ataque es muy antiguo, pero no entiendo por que ultimamente se le llama "Desktop Phising"
, en fin, tonterias mias.Bueno, espero que le sirva a alguien.
Un saludo
En línea
