 Autor
|
Tema: Bypassear AV para arp-poisoning? (Leído 9,131 veces)
|
Debci
Wiki
 Desconectado
Mensajes: 2.021
Actualizate o muere!
|
Hola a todos, llevo ya mas de una semana intentando poisonear las tablas arp en una red local, y no hay manera, con ettercap estoy trabajando.
Mirad, hago uniffied sniffing, cojo la interfaz wlan0, y hago el ataque MitM clasico, y para rematarlo compruebo con un plugin chk_poison para ver si el ataque ha surgido, y nada, resultado negativo, lo que mas me sorprende son tres cosas:
1-Los ataques de arp poison trabajan en la capa 2, los antivirus tienen protecion a ese nivel?
2-Porque si son 3 pc´s en la red, no afecta a ninguno? Y tengo por seguro que hay uno que no tiene ni AV ni firewall (con el que hacemos pruebas)
3-Si el ataque falla, no deberia etetrcap darme algun signo de error?
Según me comentó Kamsky, puedo probar un ataque de fragmentación de paquetes, he buscado y no encuentro nada con referencia a eso, solamnete algo de teoria pero ningun soft para hacerlo, además de parecer un ataque muy muy complicado, aun no lo se de cierto.
Alguien sabe que puedo hacer?
Saludos
|
|
|
|
|
En línea
|
|
|
|
ikary
Desconectado
Mensajes: 127
|
1-Los ataques de arp poison trabajan en la capa 2, los antivirus tienen protecion a ese nivel? A nivel de enlace de datos (capa 2) entran en juego los cortafuegos, uno de estos bien configurado y cortando trafico a este nivel es muy potente, pero la configuracion es bastante complicada, por lo que si estas atacando una red lan casera no deberia de ser este el problema. 2-Porque si son 3 pc´s en la red, no afecta a ninguno? Y tengo por seguro que hay uno que no tiene ni AV ni firewall (con el que hacemos pruebas)
El AV no se centra en trafico de red como ARP, ICMP ni ninguno de esos, por lo que el problema no puede ir por ahi 3-Si el ataque falla, no deberia etetrcap darme algun signo de error?
Al hacer el intento de envenenamiento de tabla ARP, ettercap lo que hace es simular la respuesta a una peticion de descubrimiento de maquina. Por lo que ettercap no espera respuesta, si no que la genera. Para eso crearon el plugin chk_poison ^^ Realmente me resulta extraño que no puedas hacer un envenenamiento ARP simple a no ser por los siguientes motivos: 1- Esteis usando un router con protocolo de enrutamiento basado en capa 3 (poco probable) 2- El switch este protegido contra ataques de este tipo (probable, los ultimos modelos de swhitch administrables traen la opcion) 3- El switch tenga asignadas las MAC manualmente, haciendo imposible el envenenamiento (mas probable) 4- Espero que no sea esto, ¿estas ejecutando ettercap como root?  (si es esto te mato XDD) Si no es ninguno de estos problemas comentanos que tipo de red y que intermediarios aparecen (routers, switchs... hubs ¬¬ ) e intentamos sacar una solucion. Por lo de el ataque de fragmentacion de paquetes que te dijo kamsky no puedo ayudate, no lo conocia. Un saludo
|
|
|
|
|
En línea
|
|
|
|
Debci
Wiki
Desconectado
Mensajes: 2.021
Actualizate o muere!
|
Pues mira, es un router sin nada mas, el ettercap si esta, como root, pues trabajo con ese usser, y si se puede modificar algo, tengo aceso a la puerta de enlace  Saludos |
|
|
|
|
En línea
|
|
|
|
tragantras
Desconectado
Mensajes: 465
|
1- Esteis usando un router con protocolo de enrutamiento basado en capa 3 (poco probable)
ARP no es un protocolo de enrutamiento, arp es un protocolo de resolucion de direcciones Address Resolution Protocol. Trabaja en la segunda capa para unificar la capa de Enlace con la capa de Red (ethernet-IP)
|
|
|
|
|
En línea
|
|
|
|
Debci
Wiki
Desconectado
Mensajes: 2.021
Actualizate o muere!
|
Alguna recomendación?
Saludos
|
|
|
|
|
En línea
|
|
|
|
ikary
Desconectado
Mensajes: 127
|
1- Esteis usando un router con protocolo de enrutamiento basado en capa 3 (poco probable)
ARP no es un protocolo de enrutamiento, arp es un protocolo de resolucion de direcciones Address Resolution Protocol. Trabaja en la segunda capa para unificar la capa de Enlace con la capa de Red (ethernet-IP) No entiendo a que viene esa correccion, por supuesto que arp no es un protocolo de enrutamiento!!  ARP se denomina como protocolo de descubrimiento y resolucion de maquina ...ettercap lo que hace es simular la respuesta a una peticion de descubrimiento de maquina... A lo que me referia con la respuesta nº1 era a los routers cisco basados unicamente en protocolos de capa 3, y lo de poco probable es por que es muy dificil encontrar un router de este tipo en una red local pequeña, ya que estan pensados para protocolos de enrutamiento externos como BGP. Volviendo a tu pregunta Debci, me quedan 2 soluciones, la solucion que te expuse, la numero 3, o que algo estas haciendo mal XDD Mirate este video donde explican muy claranmente el uso de ettercap http://icaix.com/tutoriales/ettercap.htmEs posible que se te este escapando algo. Un saludo
|
|
|
|
|
En línea
|
|
|
|
tragantras
Desconectado
Mensajes: 465
|
no si la corrección no la hice "a malas" xD, solo porque me quedé muy "shockeado" jaja
En caso de que el AV bloquee el arp-poisoning no sería tan solo en 1 ordenador?
Abre el wireshark o el tcpdump y mira a ver que pasa porque... ( no lo se eh, pero lo supongo xD ) puede ser que si intentas "suplantar" al pc con el av, cuando le llegue la respuesta fake del pc suplantador, responda el tambien despues, e invalidaría a la anterior. Si tienes 3 pcs prueba a usar solo los 2 sin AV, y/o apaga al otro
|
|
|
|
|
En línea
|
|
|
|
Debci
Wiki
Desconectado
Mensajes: 2.021
Actualizate o muere!
|
Te aseguro que hacerlo bien lo hago, porque he poisoneado ya muchas redes, pero en esta no se que ocurre, es un sistema de andar por casa, ni switch ni nada, un router, y varios pc que se conectan a el por wifi, y añadiendo mi propio pc, sin antivirus ni firewall (que era facilmente spoofeado en mi propia, y en esta otra red no se puede).
Saludos
|
|
|
|
|
En línea
|
|
|
|
Debci
Wiki
Desconectado
Mensajes: 2.021
Actualizate o muere!
|
Siento revivirlo de esta manera, pero nadie es capaz de decirme con certeza lo que pasa.
Me poneis el caso de que es una red muy compleja, y no es asi, es un sistema hogareño simple, sin switches ni nada, simplemente un router con su wifi y pc que se conectan a este.
Si os sirve de algo deciros que tengo aceso a la configuración del router.
Me pregunto tambien, si es posible que haya podido crackear la pass wep si no permite la captura de ARP y el ettercap no lo consiga :S
Por favor no tengo manera, he leido mil y un documentos sobre arp poisoning, pero nada, no me dice nada de lo que yo sufro, ahi simplemente se habla de algunas medidas de seguridad que dicha red no sufre, para evitar arp, pero como ya digo no hay manera.
Saludos
|
|
|
|
|
En línea
|
|
|
|
braulio--
Wiki
Desconectado
Mensajes: 896
Imagen recursiva
|
Has probado a intentar el poisoning desde otros ordenadores de esa misma red?
|
|
|
|
|
En línea
|
|
|
|
|
| Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
|
Necesito ayuda para defenderme de un ARP poisoning
« 1 2 »
Hacking
|
rastanthology
|
10
|
7,106
|
29 Noviembre 2010, 03:51 am
por rastanthology
|
|
|
|
Puedo bypassear esta regla del SQUID?
GNU/Linux
|
TrashAmbishion
|
0
|
1,694
|
9 Noviembre 2013, 20:08 pm
por TrashAmbishion
|
|
|
|
Se podra bypassear en VSB?
Scripting
|
softer2
|
7
|
3,755
|
19 Julio 2014, 22:40 pm
por engel lex
|
|
|
|
XSS - Es posible bypassear los filtros por defecto de HTML5?
Seguridad
|
Schaiden
|
2
|
2,885
|
11 Julio 2016, 03:46 am
por Schaiden
|
|
|
|
Creando un túnel IPv4 sobre ICMP para bypassear controles
Redes
|
r32
|
2
|
3,115
|
14 Julio 2018, 19:02 pm
por AXCESS
|
 |
