elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Sigue las noticias más importantes de seguridad informática en el Twitter! de elhacker.NET


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking (Moderador: toxeek)
| | |-+  MITM en una red grande, raro raro...
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: MITM en una red grande, raro raro...  (Leído 3,933 veces)
Distorsion

Desconectado Desconectado

Mensajes: 238


15Hz ~ 20Hz


Ver Perfil
MITM en una red grande, raro raro...
« en: 30 Enero 2012, 20:07 pm »

Buenas,
estoy de becario en una empresa de seguridad y me han dejado trastear con una red bastante grande :DD
Resultado: frustrante xD

Ataque: MITM
Lo llevaba preparado de casa, en mi wifi  funciona, allí no.

Escenario:

Rango: 10.50.0.0 con broadcast 10.50.255.255, vamos una red que admite muchos hosts.
Mi puerta de enlace sacada con route -n: 10.50.0.1
La MAC no puede estar hardcodeada porque es una red donde la gente lleva su portatil y se conecta en las bocas disponibles. A no ser que la hardcodeen por bocas de conexion o a saber.

Ataque:
arpspoofing eth0 10.50.0.1   ---> Sin resultados

Como que era muy basto he intentado con un objetivo en concreto:

arpspoofing eth0 -t 10.50.x.y 10.50.0.1   ---> Sin resultados

Donde 10.50.x.y era otro pc mio conectado a la red, su tabla arp no cambiaba.

Al final he cogido el ettercap y tras un scaneo de hosts he echo un MITN desde él. ---> Sin resultados


Sabeis si hay alguna manera de evitar el cambio de MAC de una puerta de enlace? O algo que este causando que esto no funcione?


Gracias!!

En línea

Fastolfe

Desconectado Desconectado

Mensajes: 69


Ver Perfil
Re: MITM en una red grande, raro raro...
« Respuesta #1 en: 30 Enero 2012, 20:24 pm »

Un IDS que guarda las ARP request hasta comprobar que son legitimas? (hasta comprobar que despues de la primera no van otras 500 por segundo quiero decir).

Yo creo que si que podría hacer para que descarte todas las ARP request que mande un ordenador si las manda en masa, no?
En línea

OLM

Desconectado Desconectado

Mensajes: 188


No hay justicia si la guerra está justificada.


Ver Perfil WWW
Re: MITM en una red grande, raro raro...
« Respuesta #2 en: 30 Enero 2012, 20:38 pm »

Si las tablas ARP están estáticas no podras hacerlo ¿Has probado a hacer MITM entre 2 host y no hacia la puerta de enlace? Prueba haber si funciona y vas descartando posibilidades.

Un Saludo.
En línea

Nunca consideres el estudio como una obligación, sino como una oportunidad para adentrarse en el maravilloso mundo del saber.
adastra
Endless Learner
Ex-Staff
*
Desconectado Desconectado

Mensajes: 885


http://thehackerway.com/


Ver Perfil WWW
Re: MITM en una red grande, raro raro...
« Respuesta #3 en: 31 Enero 2012, 00:30 am »

Utiliza wireshark y analiza los paquetes que se intercambian  entre tu maquina, el router y la víctima. Pero vamos, seguro que tienen un sistema de protección con tablas ARP estáticas o un NIDS que identifica el ataque y actúa en consecuencia... Intenta otro vector de ataque, no siempre los ataques ARP funcionan, pero intentando encontraras alguna forma, tienes la ventaja de que tienes permiso para "jugar".... :)
En línea

Distorsion

Desconectado Desconectado

Mensajes: 238


15Hz ~ 20Hz


Ver Perfil
Re: MITM en una red grande, raro raro...
« Respuesta #4 en: 31 Enero 2012, 22:38 pm »

Pues me pasado un segundo por la red a hacer un 'arp -a', sorpresa, según Windows la tabla arp, toda es dinámica, incluido el gateway....
He intentado borrarla haber su me la volvía asignar, pero no tenia privilegios en el pc, no llevaba mi portátil para enchufarme.

Otra cosa que me ha parecido curiosa, había dos IPs:

10.50.1.2 (parece que ofrece algún servicio, el otro día también estaba)
10.50.1.174

Las dos tenían la misma MAC, osea son la misma maquina... Por lo tanto la red permite MACs duplicadas, a no ser que tengan una excepción con esa...


 :rolleyes:  :o

 
En línea

Distorsion

Desconectado Desconectado

Mensajes: 238


15Hz ~ 20Hz


Ver Perfil
Re: MITM en una red grande, raro raro...
« Respuesta #5 en: 2 Febrero 2012, 14:21 pm »

Ya se que pasa:

http://en.wikipedia.org/wiki/DHCP_snooping
http://www.cisco.com/en/US/docs/switches/lan/catalyst3560/software/release/12.2_20_se/configuration/guide/swdynarp.pdf

Alguna idea de como saltarselo?
En principio esta técnica la debe tener implementada cada switch o hub.
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
SMS raro de **** (Recibí otro xD) « 1 2 ... 6 7 »
Foro Libre
dimitrix 66 27,738 Último mensaje 2 Septiembre 2010, 20:04 pm
por graphenemind
Modificacion de paginas automatico y muy raro « 1 2 3 »
Bugs y Exploits
tkd_tiger 22 9,731 Último mensaje 31 Marzo 2014, 01:28 am
por tkd_tiger
Arranque raro W7
Windows
ogalla 5 2,640 Último mensaje 29 Septiembre 2015, 10:39 am
por Ghostunknow
Un javascript muy raro
Scripting
MCKSys Argentina 4 2,817 Último mensaje 21 Septiembre 2016, 10:59 am
por EFEX
puerto raro, sera hacking?
Seguridad
ronald_morris 7 11,117 Último mensaje 22 Julio 2023, 04:41 am
por TheLonelyPain
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines