Hoy vengo a plantearos unas cuantas dudas y unos cuantos comentarios sobre ciertos métodos y herramientas como el DNS Spoofing y el ARP Poisoning, a su vez también sobre Ettercap o la suite dsniff.
Debci's Tertulia
En primer lugar, unas cuantas dudas básicas que me rondan la cabeza (las enumero para facilitar su respuesta ):
1-En ocasiones tengo problema para hacer un ataque Mitm, porque por algún motivo, no logro por ejemplo redireccionar mediante DNS Spoofing a la víctima a mi web maliciosa. Con ettercap, una vez todo el proceso esta funcionando, ejecuto el plugin chk_poison y este me dice que el envenenamiento ARP está funcionando y además, en mi própia wlan, me he permitido el lujo de comprobar las tablas mediante:
Código:
arp -a
Sin embargo al ejecutar el plugin de dns spoof (modificando previamente el fichero etter.dns para hacer las correspondientes redireciones), observo que el equipo víctima se queda sin conexión a internet, es decir, sigue autentificado, pero su navegador no carga ninguna página (cabe mencionar, que mediante el dns spoof estoy redirecionando todas las páginas, marcadas mediante el caracter '*' a mi própio webserver).El webserver malicioso funciona correctamente puesto, que he comprobado que se puede acceder a él desde la máquina víctima y logra infectar como es debido. Que puede estar ocurriendo? Me pasa en muchas redes, pero en concreto en la mía, es quizás por ettercap? Es quizás por el modelo de mi tarjeta de red (creo que soporta modo monitor)?
2-Tras trabajar un poco con otras suite's para sniffing y ataques Mitm diferentes a Ettercap, como por ejemplo dsniff y Wireshark, se me aparecen dos dudas:
2.1-Si consigo hacer funcionar el ARP poison de ettercap, puedo sniffar o hacer el dns spoof con otra suite? supongo que sí no?
2.2-Cuando analizo las trazas de paquetes con wireshark, es dificil distinguir tanta información, se que tiene un completo sistema de filtros, que ya he tenido el placer de usar en várias ocasiones. Que se supone que debería observar ante un envenenamiento ARP? Que protocolo me lo muestra? ARP? Cuando? Veo muchos paquetes ARP durante el ataque.
3-Exactamente, cuando seleciono en Ettercap o Dsniff las IP's de la gateway y del cliente al que quiero atacar, a que Target (Target 1 o Target 2 según la nomenclatura del programa), corresponde cada una? Lo digo porque en la mayoría de guías, veo que hace seleccionar todos los clientes/IP's de la lan en ambas Targets y quería aclararme al respecto, ya sea que de igual o que de una manera u otra se consigan resultados distintos.
4-Tengo varios filtros para Ettercap preprogramados o sacados de alguna guía tutorial, en concreto uno, que me trae de cabeza, el cual me dispongo a mostraros:
Código:
############################################################################
# #
# Jolly Pwned -- ig.filter -- filter source file #
# #
# By Irongeek. based on code from ALoR & NaGA #
# Along with some help from Kev and jon.dmml #
# http://ettercap.sourceforge.net/forum/viewtopic.php?t=2833 #
# #
# This program is free software; you can redistribute it and/or modify #
# it under the terms of the GNU General Public License as published by #
# the Free Software Foundation; either version 2 of the License, or #
# (at your option) any later version. #
# #
############################################################################
if (ip.proto == TCP && tcp.dst == 80) {
if (search(DATA.data, "Accept-Encoding")) {
replace("Accept-Encoding", "Accept-Rubbish!");
# note: replacement string is same length as original string
msg("zapped Accept-Encoding!\n");
}
}
if (ip.proto == TCP && tcp.src == 80) {
replace("img src=", "img src=\"http://www.irongeek.com/images/jollypwn.png\" ");
replace("IMG SRC=", "img src=\"http://www.irongeek.com/images/jollypwn.png\" ");
msg("Filter Ran.\n");
}
La cosa es que yo cargaba alguna página y saltaban los zap's del primer filtro, y por mas imágenes que había no las sustituia y me aseguré de que en las páginas que visitaba existiesen las tags que han de ser substituidas. Debo suponer entonces que es cuestión de equipos? De páginas? De navegadores? O simplemente el ataque no funcionó como debiere?
Intenté buscar también con Wireshark, pero no sabía ni por donde empezar. Puedo ver en los paquetes el código html que me remite el servidor? Yo no lo consigo, por ignorante, por supuesto.
5-Configuración requerida:
Puse el ip_forwading a 1, se necesita algo mas?
6-Tendré mas posibilidades de que mi ataque sea mas certero, si me conecto mediante un enlace físico (el cable de toda la vida) envezde mediante la wlan?
7-He pensado que quizás los filtros que no funcionaban fuesen porque visitase páginas de tráfico seguro (ssl-https), pero visité muchas (o todas) sin ninguna protección. Ssltrip, parece muy sencillo de usar, tanto que no se si lo estoy haciendo correctamente :O
Código:
sslstrip -w micaptura.cap
Eso es todo por esta noche, se que es mucho para contestar, pero yo agradezco de ante mano que me hayáis leído.
Un saludo y un abrazo para todos!