Tema destacado: [Overclocking] Récords de overclock del foro
 Autor
|
Tema: Bypassear AV para arp-poisoning? (Leído 2,966 veces)
|
Debci
Wiki
 Desconectado
Mensajes: 1.945
Actualizate o muere!
|
Hola a todos, llevo ya mas de una semana intentando poisonear las tablas arp en una red local, y no hay manera, con ettercap estoy trabajando.
Mirad, hago uniffied sniffing, cojo la interfaz wlan0, y hago el ataque MitM clasico, y para rematarlo compruebo con un plugin chk_poison para ver si el ataque ha surgido, y nada, resultado negativo, lo que mas me sorprende son tres cosas:
1-Los ataques de arp poison trabajan en la capa 2, los antivirus tienen protecion a ese nivel?
2-Porque si son 3 pc´s en la red, no afecta a ninguno? Y tengo por seguro que hay uno que no tiene ni AV ni firewall (con el que hacemos pruebas)
3-Si el ataque falla, no deberia etetrcap darme algun signo de error?
Según me comentó Kamsky, puedo probar un ataque de fragmentación de paquetes, he buscado y no encuentro nada con referencia a eso, solamnete algo de teoria pero ningun soft para hacerlo, además de parecer un ataque muy muy complicado, aun no lo se de cierto.
Alguien sabe que puedo hacer?
Saludos
|
|
|
|
|
En línea
|
|
|
|
ikary
Desconectado
Mensajes: 127
|
1-Los ataques de arp poison trabajan en la capa 2, los antivirus tienen protecion a ese nivel? A nivel de enlace de datos (capa 2) entran en juego los cortafuegos, uno de estos bien configurado y cortando trafico a este nivel es muy potente, pero la configuracion es bastante complicada, por lo que si estas atacando una red lan casera no deberia de ser este el problema. 2-Porque si son 3 pc´s en la red, no afecta a ninguno? Y tengo por seguro que hay uno que no tiene ni AV ni firewall (con el que hacemos pruebas)
El AV no se centra en trafico de red como ARP, ICMP ni ninguno de esos, por lo que el problema no puede ir por ahi 3-Si el ataque falla, no deberia etetrcap darme algun signo de error?
Al hacer el intento de envenenamiento de tabla ARP, ettercap lo que hace es simular la respuesta a una peticion de descubrimiento de maquina. Por lo que ettercap no espera respuesta, si no que la genera. Para eso crearon el plugin chk_poison ^^ Realmente me resulta extraño que no puedas hacer un envenenamiento ARP simple a no ser por los siguientes motivos: 1- Esteis usando un router con protocolo de enrutamiento basado en capa 3 (poco probable) 2- El switch este protegido contra ataques de este tipo (probable, los ultimos modelos de swhitch administrables traen la opcion) 3- El switch tenga asignadas las MAC manualmente, haciendo imposible el envenenamiento (mas probable) 4- Espero que no sea esto, ¿estas ejecutando ettercap como root?  (si es esto te mato XDD) Si no es ninguno de estos problemas comentanos que tipo de red y que intermediarios aparecen (routers, switchs... hubs ¬¬ ) e intentamos sacar una solucion. Por lo de el ataque de fragmentacion de paquetes que te dijo kamsky no puedo ayudate, no lo conocia. Un saludo
|
|
|
|
|
En línea
|
|
|
|
Debci
Wiki
Desconectado
Mensajes: 1.945
Actualizate o muere!
|
Pues mira, es un router sin nada mas, el ettercap si esta, como root, pues trabajo con ese usser, y si se puede modificar algo, tengo aceso a la puerta de enlace  Saludos |
|
|
|
|
En línea
|
|
|
|
tragantras
Desconectado
Mensajes: 466
|
1- Esteis usando un router con protocolo de enrutamiento basado en capa 3 (poco probable)
ARP no es un protocolo de enrutamiento, arp es un protocolo de resolucion de direcciones Address Resolution Protocol. Trabaja en la segunda capa para unificar la capa de Enlace con la capa de Red (ethernet-IP)
|
|
|
|
|
En línea
|
|
|
|
Debci
Wiki
Desconectado
Mensajes: 1.945
Actualizate o muere!
|
Alguna recomendación?
Saludos
|
|
|
|
|
En línea
|
|
|
|
ikary
Desconectado
Mensajes: 127
|
1- Esteis usando un router con protocolo de enrutamiento basado en capa 3 (poco probable)
ARP no es un protocolo de enrutamiento, arp es un protocolo de resolucion de direcciones Address Resolution Protocol. Trabaja en la segunda capa para unificar la capa de Enlace con la capa de Red (ethernet-IP) No entiendo a que viene esa correccion, por supuesto que arp no es un protocolo de enrutamiento!!  ARP se denomina como protocolo de descubrimiento y resolucion de maquina ...ettercap lo que hace es simular la respuesta a una peticion de descubrimiento de maquina... A lo que me referia con la respuesta nº1 era a los routers cisco basados unicamente en protocolos de capa 3, y lo de poco probable es por que es muy dificil encontrar un router de este tipo en una red local pequeña, ya que estan pensados para protocolos de enrutamiento externos como BGP. Volviendo a tu pregunta Debci, me quedan 2 soluciones, la solucion que te expuse, la numero 3, o que algo estas haciendo mal XDD Mirate este video donde explican muy claranmente el uso de ettercap http://icaix.com/tutoriales/ettercap.htmEs posible que se te este escapando algo. Un saludo
|
|
|
|
|
En línea
|
|
|
|
tragantras
Desconectado
Mensajes: 466
|
no si la corrección no la hice "a malas" xD, solo porque me quedé muy "shockeado" jaja
En caso de que el AV bloquee el arp-poisoning no sería tan solo en 1 ordenador?
Abre el wireshark o el tcpdump y mira a ver que pasa porque... ( no lo se eh, pero lo supongo xD ) puede ser que si intentas "suplantar" al pc con el av, cuando le llegue la respuesta fake del pc suplantador, responda el tambien despues, e invalidaría a la anterior. Si tienes 3 pcs prueba a usar solo los 2 sin AV, y/o apaga al otro
|
|
|
|
|
En línea
|
|
|
|
Debci
Wiki
Desconectado
Mensajes: 1.945
Actualizate o muere!
|
Te aseguro que hacerlo bien lo hago, porque he poisoneado ya muchas redes, pero en esta no se que ocurre, es un sistema de andar por casa, ni switch ni nada, un router, y varios pc que se conectan a el por wifi, y añadiendo mi propio pc, sin antivirus ni firewall (que era facilmente spoofeado en mi propia, y en esta otra red no se puede).
Saludos
|
|
|
|
|
En línea
|
|
|
|
Debci
Wiki
Desconectado
Mensajes: 1.945
Actualizate o muere!
|
Siento revivirlo de esta manera, pero nadie es capaz de decirme con certeza lo que pasa.
Me poneis el caso de que es una red muy compleja, y no es asi, es un sistema hogareño simple, sin switches ni nada, simplemente un router con su wifi y pc que se conectan a este.
Si os sirve de algo deciros que tengo aceso a la configuración del router.
Me pregunto tambien, si es posible que haya podido crackear la pass wep si no permite la captura de ARP y el ettercap no lo consiga :S
Por favor no tengo manera, he leido mil y un documentos sobre arp poisoning, pero nada, no me dice nada de lo que yo sufro, ahi simplemente se habla de algunas medidas de seguridad que dicha red no sufre, para evitar arp, pero como ya digo no hay manera.
Saludos
|
|
|
|
|
En línea
|
|
|
|
braulio--
Wiki
Desconectado
Mensajes: 889
Imagen recursiva
|
Has probado a intentar el poisoning desde otros ordenadores de esa misma red?
|
|
|
|
|
En línea
|
|
|
|
Debci
Wiki
Desconectado
Mensajes: 1.945
Actualizate o muere!
|
Has probado a intentar el poisoning desde otros ordenadores de esa misma red?
asi es, incluso hacia ordenadores que no tienen av siquiera y no poisonea a nada ni a nadie, desde 3 ordenadores he provado. Saludos
|
|
|
|
|
En línea
|
|
|
|
dantemc
Desconectado
Mensajes: 1.804
Amakakeru Ryu No Hirameki. en tu cara :P
|
o sea que uno esta conectado por cable y el otro por wifi??
|
|
|
|
|
En línea
|
8-D
|
|
|
EvilGoblin
Desconectado
Mensajes: 2.320
YO NO LA VOTE!
|
Yo probe recien poison en ethernet y wifi con ettercap y no tuve problemas
te recomiendo unos tips
asegurate que este funcionando libnet (q utiliza ettercap) como corresponde. (instala todo nuevamente)
asegurate de no perder conexion y que tengas visible (mediante switch) esas maquinas (ping 192.168.1.x)
usa el modo verbose de ettercap a ver si tienes alguna respuesta.
verifica que realmente sea el router al que apuntas.
y verifica las tablas arp en las maquinas que atacas a ver si se modifican
=D suerte!
|
|
|
|
|
En línea
|
Experimental Serial Lain [Linux User]
|
|
|
xーいぱ
Desconectado
Mensajes: 17
Serial Experiments
|
ethercap no lo conozco por ser muy 'grande' ... para arp poison mi favorito: http://su2.info/doc/arpspoof.phpViene instalando el paquete dsniff, una tool simple y 'verbose'. |
|
|
|
|
En línea
|
I've just abandoned the flesh
|
|
|
unnovato
Desconectado
Mensajes: 11
|
hola, soy nuevo como mi nombre lo indica, pero "jugando" con ettercap me a pasado que al no tener todas las librerias, no me funcionaba correctamente (parecía que si pero en realidad no ¿se entiende?) y finalmente mi aporte que una vez si me paso, viendo algunos videos y/o tutoriales, a veces estan mal, te indican que a target 1 le metas el host que quieres poisonear y que a target 2 le metas el router ¿sera ese tu problema? en fin es todo lo que puedo aportar, saludos a todxs!!!!
|
|
|
|
« Última modificación: 12 Octubre 2010, 21:05 por unnovato »
|
En línea
|
|
|
|
|
 |
