elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Recuerda que debes registrarte en el foro para poder participar (preguntar y responder)


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking Wireless
| | |-+  Problema con el vecino. Envenamiento cache arp
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Problema con el vecino. Envenamiento cache arp  (Leído 8,233 veces)
hackuse

Desconectado Desconectado

Mensajes: 2


Ver Perfil
Problema con el vecino. Envenamiento cache arp
« en: 22 Enero 2013, 15:16 pm »

Hola os cuento un poco mi situación. Se aproxima un tochazo de texto, así o siento:

Hace varias semanas me he venido a vivir a un piso alquilado. La persona que me lo alquiló no tenia internet entre las facilidades. Pero me comento que unos parientes un piso más abajo podrian tenerlo asi que me dio su numero y me decidi a hablar con ellos. Mi idea era pagarles una ayuda y asi tener acceso a internet. La cuestión es que tras hablar con ellos me encuentro con que tienen la red "abierta" -era algo que ni si quiera se me había pasado por la cabeza mirar al estar en el piso en la primera visita que hice.

Al margen de decirme que la tienen abierta, me comenta una de las personas que la dejan asi para que se conecte la gente que lo necesite, y que "mientras no se pasen ni hagan abuso no pasa nada". También me indicó que lo tenian de forma que "le avisaba" el ordenador cada vez que se conectaba alguien. Indagando un poco he visto programas que muestran los individuos conectados a tu red en tiempo real y te avisan cuando alguno accede a ella, dando los datos de cada uno -ip asignada, mac, datos sobre el adaptador de red, etc.

El caso es que ayer determinado programa me informó de un supuesto envenenamiento por caché arp. Como estos mensajes no sé que tan fiables son y me imagino que pueden ser motivados por muchas cosas e interpretados de muchas maneras -no solo ataque de una persona con malas intenciones- me gustaría contaros un poco lo que sucede para que me ayudéis a evaluar la situación.


Desde que este mensaje apareció -ayer-, apareció ocasionalmente más veces -durante una semana que llevo aquí, nunca lo vi. He visto también como la mac del router al que me conectaba cambiaba, aparentemente, y luego volvía otra vez a la original. Desconozco si han cambiado un router por otro igual (misma marca) o han hecho alguna otra piratada :). Accedí al router con su contraseña predeterminada cuando noté el cambio y aparentemente se veía todo normal, podía navegar por los menus etc. La 2ª mac que vi para el router era exactamente esta: 00-11-E3-E4-56-FD, la cual me parece que una dirección particularmente "curiosa". Aún asi como comento pude acceder al router sin problemas. También es reseñable que ahora conectandome por último sale el nombre de la red con un 3 al lado. Es como si me hubiese conectado tres veces a la misma red con el mismo nombre pero siendo "distinta" (mac vieja, mac nueva, mac vieja otra vez).


Ocasionalmente me estaba quedando sin conexión. Ahora estoy sin ella permanentemente. Aparece un símbolo de admiración donde la conexion de red. Intento acceder al router poniendo la puerta de enlace en el navegador y no conecta. Las paginas no cargan. Hago un ping al router y los paquetes se pierden. Estuve leyendo que arp poisoning podria tener que ver con esto que me sucede si me redireccionan a un sitio sin salida. También podrían redireccionarme a un ordenador con idea de snifar el tráfico y supongo que extraer información, por lo que he leido.


Más cosas que he notado o mensajes de advertencia que he tenido: "Se detecto una ip identica en la red". "Longitud de paquete ip incorrecta". También he notado que un teléfono que tengo si navega por internet via wifi cuando el ordenador no me funciona. Supongo que no habrán caido que es mio o no le prestarán atención, o les dará igual.


Cosas que he hecho y me han funcionado pero momentaneamente hasta quedarme otra vez sin internet. Cambiar la ip de mi ordenador manualmente en lugar de usar la asignada por el dhcp por parte del router. También he asignado de forma estática la mac del ruter a la puerta de enlace mediante el comando netsh, porque he leido que podria solventar problemas con el tema del arp. Pero el tema es que finalmente sigo sin conexion.


Llegados aquí me gustaria que me aconsejarais que hacer, en todos los ambitos y sentidos. Primero de todos el de la privacidad de mi información en caso de seguir usando la red. Que debería hacer para usarla de forma segura. No pretendo hacer daño a nadie solo estar protegido. Es posible que el dueño del ruter haya podido ver por paginas por las que navegado y alguna cosa no le haya gustado -nada ilegal, eso sí- también sonsacado contraseñas y alguna otra cosa mas -no sé que tan facil esto, al menos lo primero imagino que no es muy dificil.


Lo segundo es que no sé como abordar el tema personalmente con esta gente. He estado toda la noche sin internet y ahora estoy conectado desde una institución publica. Quería ver que me aconsejáis antes de volver para el piso otra vez. Porque tenía intención de hablar con ellos. Al segundo día de estar en el piso, les timbré en la puerta y les dije que si les pagaba ya lo que me dijesen. Me comentó uno de ellos que no hacía falta de momento que esperase a final de mes y que no sabian muy bien que me iban a cobrar porque realmente no tenia acceso al servicio del teléfono, solo a internet y tal. Vamos que aparentemente no le daban mucha importancia al hecho de que me conectase. He de decir que durante estos días lo único que he hecho ha sido navegar y ver videos online. Creo que eso para una conexion de 5 megas, casi 6, de bajada no supone un carga de trabajo enorme. No he usado programas de descarga de ningun tipo ni nada similar.

Que les digo, que si les molesta que use la conexion? Les digo que creo que me están fastidiando a drede?

Una pregunta respecto a esto. Se incurre en alguna ilegalidad al espiar los movimientos de otra persona conectada a tu misma red? Se que es una pregunta un poco ridicula porque es algo a lo que yo mismo he accedido al conectarme a su ruter, pero quisiera saber si se incurre en alguna legalidad al respecto. Hay que tener en cuenta que la red es abierta y que ellos mismos me han ofrecido el conectarme.




En línea

RevangelyonX

Desconectado Desconectado

Mensajes: 245


Ver Perfil WWW
Re: Problema con el vecino. Envenamiento cache arp
« Respuesta #1 en: 22 Enero 2013, 20:16 pm »

Hola,

Bueno después de leer tu post, lo primero que te comento.

La MAC:
00:11:E3:E4:56:FD

Si navegas por ciertas páginas referentes a MAC Address verás que en todas:

www.coffer.com/mac_find/

Si pones su prefijo:

www.coffer.com/mac_find/?string=00%3A11%3AE3

Se trata de:

"Thomson, Inc. (was: Broadband Access Prod)"

Yo diría que se trata de la "buena" MAC Address quizá la otra MAC Address nos daría más información y clarificaría el asunto.

Siguiendo tus síntomas, me parece un ataque Arp poisoning claramente.
En el siguiente POST tienes un PDF adjunto interesante de como prevenir que el ataque resulte:

foro.elhacker.net/seguridad/proteccion_contra_arp_spoofing-t238574.0.html

Hay un tema que tendrías que valorar, es una red abierta y cualquiera puede lanzar este ataque, incluso tu si quisieras, por lo tanto, alomejor ellos ni saben que está pasando, quizá es otro vecino el que está lanzando el ataque.

Propongo primero, anota todas las MACs Address diferentes que puedas encontrarte asociadas a la dirección IP del supuesto router.

Después paseate con un escanner como airodump o alguno por el estilo para analizar que MACs y que señales hay cerca de tu tarjeta de red inalámbrica. Si encuentras aproximadamente la ubicación de la MAC Address sabrás con quién podrías hablar, no necesariamente son los dueños de la red.

Citar
Una pregunta respecto a esto. Se incurre en alguna ilegalidad al espiar los movimientos de otra persona conectada a tu misma red? Se que es una pregunta un poco ridicula porque es algo a lo que yo mismo he accedido al conectarme a su ruter, pero quisiera saber si se incurre en alguna legalidad al respecto. Hay que tener en cuenta que la red es abierta y que ellos mismos me han ofrecido el conectarme.

Esto viene a ser: yo te dejo mi piso, tu lo aceptas encantado, pero he instalado unas camaras sin tu saberlo...

Si sé personalmente hasta que punto no es legal para mi, pero no sé hasta que punto la justicia lo tomaría como ilegal, aquí te aconsejo que visites a alguién más adecuado.

Salu2.


En línea

Just Linux
OSCP certified
beholdthe


Desconectado Desconectado

Mensajes: 2.736


Ver Perfil
Re: Problema con el vecino. Envenamiento cache arp
« Respuesta #2 en: 22 Enero 2013, 21:44 pm »


Una pregunta respecto a esto. Se incurre en alguna ilegalidad al espiar los movimientos de otra persona conectada a tu misma red? Se que es una pregunta un poco ridicula porque es algo a lo que yo mismo he accedido al conectarme a su ruter, pero quisiera saber si se incurre en alguna legalidad al respecto. Hay que tener en cuenta que la red es abierta y que ellos mismos me han ofrecido el conectarme.

Si, es ILEGAL y perfectamente denunciable, tanto si la red es abierta, si la red es tuya y dejas que otros entren, etc.
En línea

HCK.

Desconectado Desconectado

Mensajes: 181



Ver Perfil
Re: Problema con el vecino. Envenamiento cache arp
« Respuesta #3 en: 22 Enero 2013, 22:31 pm »

Tablas estáticas


Ocasionalmente me estaba quedando sin conexión. Ahora estoy sin ella permanentemente. Aparece un símbolo de admiración donde la conexion de red. Intento acceder al router poniendo la puerta de enlace en el navegador y no conecta. Las paginas no cargan. Hago un ping al router y los paquetes se pierden. Estuve leyendo que arp poisoning podria tener que ver con esto que me sucede si me redireccionan a un sitio sin salida. También podrían redireccionarme a un ordenador con idea de snifar el tráfico y supongo que extraer información, por lo que he leido.




Cosas que he hecho y me han funcionado pero momentaneamente hasta quedarme otra vez sin internet. Cambiar la ip de mi ordenador manualmente en lugar de usar la asignada por el dhcp por parte del router. También he asignado de forma estática la mac del ruter a la puerta de enlace mediante el comando netsh, porque he leido que podria solventar problemas con el tema del arp. Pero el tema es que finalmente sigo sin conexion.


Llegados aquí me gustaria que me aconsejarais que hacer, en todos los ambitos y sentidos. Primero de todos el de la privacidad de mi información en caso de seguir usando la red. Que debería hacer para usarla de forma segura. No pretendo hacer daño a nadie solo estar protegido. Es posible que el dueño del ruter haya podido ver por paginas por las que navegado y alguna cosa no le haya gustado -nada ilegal, eso sí- también sonsacado contraseñas y alguna otra cosa mas -no sé que tan facil esto, al menos lo primero imagino que no es muy dificil.


Lo segundo es que no sé como abordar el tema personalmente con esta gente. He estado toda la noche sin internet y ahora estoy conectado desde una institución publica. Quería ver que me aconsejáis antes de volver para el piso otra vez. Porque tenía intención de hablar con ellos. Al segundo día de estar en el piso, les timbré en la puerta y les dije que si les pagaba ya lo que me dijesen. Me comentó uno de ellos que no hacía falta de momento que esperase a final de mes y que no sabian muy bien que me iban a cobrar porque realmente no tenia acceso al servicio del teléfono, solo a internet y tal. Vamos que aparentemente no le daban mucha importancia al hecho de que me conectase. He de decir que durante estos días lo único que he hecho ha sido navegar y ver videos online. Creo que eso para una conexion de 5 megas, casi 6, de bajada no supone un carga de trabajo enorme. No he usado programas de descarga de ningun tipo ni nada similar.





Hola, espero que pueda ayudarte un poco. Sobre lo de que pueden dejarte caido de la red al recibir un arpspoof, es cierto. Pero eso le suele pasar a los novatos que empiezan en el tema. Si estan usando Linux en el ataque, lo mas probable esque no esten habilitando el ip_forward. Es decir, le llegan los paquetes, pero no circula el trafico. Lo mas sencillo para protegerte de un Arpspoof, es hacer una tabla estática desde la consola, con tu IP local. Es decir, así de simple:

arp -s 192.168.1.10(iplocal)   00-11-22-33-44-55(macdetutarjetadered)
.
Si tienes los datos asignados DHCP, tendras que meterlo cada vez que reinicies a mano, puesto que te puede asignar otros valores.
Si esta desactivado, puedes crear un archivo.bat y que en el inicio arranque automaticamente, evitandote despistes y demás.
Con eso simplemente evitarias el Arpspoof, pero si comentas que es una red abierta.. Mucho no puedes hacer para que no te vean el tráfico, ni quien lo vea, porque quien tenga unos mínimos conocimientos, puede tirar airodump capturando tráfico y ni siquiera nadie de la red se enteraria, puesto que no estaría asociado al router. La unica desventaja ante esto con el arpspoof, es que no podria utilizar sslstrip y sacarte las contraseñas cuando te logueas en una web cifrada, como Tuenti por ejemplo.
Pero practicamente podria hacer cosas como robarte sesiones con las cookies y esas cosas.
Las redes libres es lo que tiene, es todo un picadero para estos asuntos, y a quien le tente pues..

Tienes la opcion tambien de que alguien que conozcas y tenga internet, te deje montar un tunel SSH para navegar. Iria cifrado por SSL u otro protocolo, que hoy en dia es seguro, y no podria ver tu trafico, porque teoricamente, lo unico que haces es mandar los datos al servidor de tu"amigo", el a internet, y el te devuelve los resultados, por explicarlo de una manera simple.. Todo ello cifrado.

Pero bueno, aún asi, tienes que tener cuidado con toda red libre. Si quieres te busco una tarifa de internet económica o algo, aunque sea lenta. Ya es mas segura, puesto que tu te encargas de administrarlo :).


En línea

sanson


Desconectado Desconectado

Mensajes: 471


Ver Perfil
Re: Problema con el vecino. Envenamiento cache arp
« Respuesta #4 en: 24 Enero 2013, 01:45 am »


hola

no te conectes a una red abierta, sin protección, como mínimo usa un túnel VPN. primero puede que sea cualquiera del edificio quien se este dedicando a usmearte y segundo puede que los dueños sean unos listos y por eso la dejen abierta.

yo no me conectaría y menos sabiendo que o los dueños o un vecino tienen algo de idea de esto.

por otro lado, también puedes aprender tu y darle la vuelta a la tortilla, a ver que tal le sienta   

saludos
En línea

Es más difícil desaprender conocimientos inútiles, que aprender cosa nuevas.

MANUAL BÁSICO DE WIFISLAX Y SUS HERRAMIENTAS DE AUDITORIA WIRELESS
pianista
Colaborador
***
Desconectado Desconectado

Mensajes: 5.654


Hacking Wireless Live!


Ver Perfil WWW
Re: Problema con el vecino. Envenamiento cache arp
« Respuesta #5 en: 24 Enero 2013, 23:23 pm »

Te aconsejo que no experimentes con gente que no conoces, puedes acabar escaldado.

Y por supuesto, que no compartas red con otras personas que digamos no "sean de confianza".

Dicho esto y como con lo contestado te han orientado bastante, te cierro el hilo.

Para más preguntas sobre envenenamientos de arp, hacking básico. Te sugiero que hagas alguna práctica con ettercap .

Saludos
En línea

hackuse

Desconectado Desconectado

Mensajes: 2


Ver Perfil
Re: Problema con el vecino. Envenamiento cache arp
« Respuesta #6 en: 25 Enero 2013, 13:29 pm »

Hola, gracias por las contestaciones.

En cuanto a lo del primer post:

Efectivamente el ruter es de esa marca, pero curiosamente la otra mac de la que dispongo y que creo la real también lo es. Lo que me hace dudar de la legitimidad de la que he puesto es la relación de los numeros -3,4,5- y las letras casi en orden también. Ha podido utilizar un encabezado conocido y añadir el resto manualmente.

Os comento un poco la situación actual. Gracias por la guía. Sobre omo evitar el ataque ya había leido por internet, para editar la tabla. Pero aun quitandola y poniendo las ips y macs supuestamente legítimas del router y mi ordenador a veces me quedo sin internet. Comento que para el caso de la puerta de enlace, en mi caso al menos, no puedo usar el comando arp y necesito usar ntsh.

Citar
   
Después paseate con un escanner como airodump o alguno por el estilo para analizar que MACs y que señales hay cerca de tu tarjeta de red inalámbrica. Si encuentras aproximadamente la ubicación de la MAC Address sabrás con quién podrías hablar, no necesariamente son los dueños de la red.

Esto imagino que desde win2 no se puede hacer, no? Tengo alguna distro de linux en live. Si me puedes guiar un poco más o dar alguna otra indicación al respecto en este tema, lo mismo ojeao a ver que encuentro. No entiendo muy bien que quieres decir por "ubicación". De todos modos veo un poco el movimiento que hay en la zona y que no hay muchas posibilidades de que sea otra persona la que esté molestando.


Citar
Esto viene a ser: yo te dejo mi piso, tu lo aceptas encantado, pero he instalado unas camaras sin tu saberlo...

Si sé personalmente hasta que punto no es legal para mi, pero no sé hasta que punto la justicia lo tomaría como ilegal, aquí te aconsejo que visites a alguién más adecuado.

Salu2.

Deberías de saber que colocar esas camaras es.. ilegal no. Es lo siguiente a ilegal. O igual que si llamas a alguien a tu casa y le pegas un tiro. Despues alegas que fue en defensa propia. Pero eso sí, el proceso judicial y la posible culpabilidad no te la quita nadie por que haya sido en tu casa.

Por eso mismo y aunque no esté regulado posiblemente, dudo que sea lícito hacer lo que esta persona supuestamente hace. Indagaré sobre el tema y le preguntaré a algun conocido que es abogado y creo que se mueve con info relacionada.


Citar
La unica desventaja ante esto con el arpspoof, es que no podria utilizar sslstrip y sacarte las contraseñas cuando te logueas en una web cifrada, como Tuenti por ejemplo.
Pero practicamente podria hacer cosas como robarte sesiones con las cookies y esas cosas.
Las redes libres es lo que tiene, es todo un picadero para estos asuntos, y a quien le tente pues..

Tienes la opcion tambien de que alguien que conozcas y tenga internet, te deje montar un tunel SSH para navegar. Iria cifrado por SSL u otro protocolo, que hoy en dia es seguro, y no podria ver tu trafico, porque teoricamente, lo unico que haces es mandar los datos al servidor de tu"amigo", el a internet, y el te devuelve los resultados, por explicarlo de una manera simple.. Todo ello cifrado.

Pero bueno, aún asi, tienes que tener cuidado con toda red libre. Si quieres te busco una tarifa de internet económica o algo, aunque sea lenta. Ya es mas segura, puesto que tu te encargas de administrarlo :).

En base a esto me gustaría preguntar ciertas cosas:

Como puedo asegurarme de que estoy conectado al router legítimo. Aún en caso de ser la mac supuestamente legítima, no es posible elaborar un ap con los mísmos parámetros (mac, ssid, etc) que el router para compartir la conexión simulando ser el mismo?

Que tan facil es extraer contraseñas en caso de llegar a monitorear el trafico, para la mayoria de los servicios habituales? -navegación web, servicios de mensajeria como skype, messenger, etc. Me preocupa mucho el tema de que haya dado con contraseñas que he usado.

Yo por lo de pronto he decidido no iniciar más sesiones de ningun tipo conectado a la red.

También me gustaría saber si es util emplear algun tipo de proxy tipo ultrasurf o algo como tor para navegar en este tipo de casos, con idea de mejorar la privacidad de la navegación. O si por el contrario sería inutil en caso de que estuviese monitoreando el tráfico.

Mas barato que lo que le iba a pagar a esta gente no hay nada. Esta todo caro. Como digo usare internet sin loguearme en nada.

Estan así los datos en mi ordenador? O también tendría que preocuparme.



Citar

hola

no te conectes a una red abierta, sin protección, como mínimo usa un túnel VPN. primero puede que sea cualquiera del edificio quien se este dedicando a usmearte y segundo puede que los dueños sean unos listos y por eso la dejen abierta.

yo no me conectaría y menos sabiendo que o los dueños o un vecino tienen algo de idea de esto.

por otro lado, también puedes aprender tu y darle la vuelta a la tortilla, a ver que tal le sienta   

saludos


Estoy casi seguro que, o son los dueños o alguien con quien tratan y que tiene acceso a la red. El tema de la vuelta a la tortilla lo estoy barajando. Es hora de ampliar conocimientos y tal.



Citar
Te aconsejo que no experimentes con gente que no conoces, puedes acabar escaldado.

Y por supuesto, que no compartas red con otras personas que digamos no "sean de confianza".

Dicho esto y como con lo contestado te han orientado bastante, te cierro el hilo.

Para más preguntas sobre envenenamientos de arp, hacking básico. Te sugiero que hagas alguna práctica con ettercap .

Saludos

Gracias pero no tenía pensado "experimentar" Como comento ahora sólo navego y me da igual que sepan porque páginas voy a andar. Me anoto el programa. (Y no des hilos por cerrado tan rápido)

Saludos



En línea

alister


Desconectado Desconectado

Mensajes: 513


Ver Perfil
Re: Problema con el vecino. Envenamiento cache arp
« Respuesta #7 en: 25 Enero 2013, 18:49 pm »

Citar
Como puedo asegurarme de que estoy conectado al router legítimo.

blindando la entrada ARP correspondiente a la puerta de enlace.

http://technet.microsoft.com/en-us/library/cc781485(v=ws.10).aspx

de todos modos el envenenamiento bidireccional podría suceder igual y no dependería de ti, ya que el problema estaría en la cache arp infectada en el router
« Última modificación: 25 Enero 2013, 18:51 pm por alist3r » En línea

Back 2 business!
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Problema con CACHE de la imagen de Firma
Sugerencias y dudas sobre el Foro
Skeletron 5 4,046 Último mensaje 23 Marzo 2010, 07:43 am
por Skeletron
Duda con envenamiento ARP
Hacking
Dr [F] 3 2,714 Último mensaje 26 Marzo 2010, 23:42 pm
por Dr [F]
¿Que efectos producen y como se aplica/evita ataque de envenamiento de cache?
Hacking
drwebhack 5 16,468 Último mensaje 9 Julio 2010, 15:36 pm
por tragantras
Problema con vecino(resuelto)
Hacking Wireless
usuario999 6 3,753 Último mensaje 14 Octubre 2010, 14:22 pm
por usuario999
Problema de cache de iconos y ventanas
Windows
noker612 8 5,618 Último mensaje 29 Septiembre 2015, 21:09 pm
por Songoku
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines