Foro de elhacker.net

Hola a todos, llevo ya mas de una semana intentando poisonear las tablas arp en una red local, y no hay manera, con ettercap estoy trabajando.

Mirad, hago uniffied sniffing, cojo la interfaz wlan0, y hago el ataque MitM clasico, y para rematarlo compruebo con un plugin chk_poison para ver si el ataque ha surgido, y nada, resultado negativo, lo que mas me sorprende son tres cosas:

1-Los ataques de arp poison trabajan en la capa 2, los antivirus tienen protecion a ese nivel?
2-Porque si son 3 pc´s en la red, no afecta a ninguno? Y tengo por seguro que hay uno que no tiene ni AV ni firewall (con el que hacemos pruebas)
3-Si el ataque falla, no deberia etetrcap darme algun signo de error?

Según me comentó Kamsky, puedo probar un ataque de fragmentación de paquetes, he buscado y no encuentro nada con referencia a eso, solamnete algo de teoria pero ningun soft para hacerlo, además de parecer un ataque muy muy complicado, aun no lo se de cierto.

Alguien sabe que puedo hacer?


Saludos

A nivel de enlace de datos (capa 2) entran en juego los cortafuegos, uno de estos bien configurado y cortando trafico a este nivel es muy potente, pero la configuracion es bastante complicada, por lo que si estas atacando una red lan casera no deberia de ser este el problema.
El AV no se centra en trafico de red como ARP, ICMP ni ninguno de esos, por lo que el problema no puede ir por ahi
Al hacer el intento de envenenamiento de tabla ARP, ettercap lo que hace es simular la respuesta a una peticion de descubrimiento de maquina. Por lo que ettercap no espera respuesta, si no que la genera. Para eso crearon el plugin chk_poison ^^

Realmente me resulta extraño que no puedas hacer un envenenamiento ARP simple a no ser por los siguientes motivos:

1- Esteis usando un router con protocolo de enrutamiento basado en capa 3 (poco probable)
2- El switch este protegido contra ataques de este tipo (probable, los ultimos modelos de swhitch administrables traen la opcion)
3- El switch tenga asignadas las MAC manualmente, haciendo imposible el envenenamiento (mas probable)
4- Espero que no sea esto, ¿estas ejecutando ettercap como root? :P (si es esto te mato XDD)

Si no es ninguno de estos problemas comentanos que tipo de red y que intermediarios aparecen (routers, switchs... hubs ¬¬ ) e intentamos sacar una solucion.
Por lo de el ataque de fragmentacion de paquetes que te dijo kamsky no puedo ayudate, no lo conocia.

Un saludo

Pues mira, es un router sin nada mas, el ettercap si esta, como root, pues trabajo con ese usser, y si se puede modificar algo, tengo aceso a la puerta de enlace :D

Saludos

ARP no es un protocolo de enrutamiento, arp es un protocolo de resolucion de direcciones Address Resolution Protocol. Trabaja en la segunda capa para unificar la capa de Enlace con la capa de Red (ethernet-IP)

Alguna recomendación?

Saludos

No entiendo a que viene esa correccion, por supuesto que arp no es un protocolo de enrutamiento!!  :o ARP se denomina como protocolo de descubrimiento y resolucion de maquinaA lo que me referia con la respuesta nº1 era a los routers cisco basados unicamente en protocolos de capa 3, y lo de poco probable es por que es muy dificil encontrar un router de este tipo en una red local pequeña, ya que estan pensados para protocolos de enrutamiento externos como BGP.

Volviendo a tu pregunta Debci, me quedan 2 soluciones, la solucion que te expuse, la numero 3, o que algo estas haciendo mal XDD

Mirate este video donde explican muy claranmente el uso de ettercap http://icaix.com/tutoriales/ettercap.htm (http://icaix.com/tutoriales/ettercap.htm)
Es posible que se te este escapando algo.

Un saludo

no si la corrección no la hice "a malas" xD, solo porque me quedé muy "shockeado" jaja

En caso de que el AV bloquee el arp-poisoning no sería tan solo en 1 ordenador?
Abre el wireshark o el tcpdump y mira a ver que pasa porque... ( no lo se eh, pero lo supongo xD ) puede ser que si intentas "suplantar" al pc con el av, cuando le llegue la respuesta fake del pc suplantador, responda el tambien despues, e invalidaría a la anterior. Si tienes 3 pcs prueba a usar solo los 2 sin AV, y/o apaga al otro

Te aseguro que hacerlo bien lo hago, porque he poisoneado ya muchas redes, pero en esta no se que ocurre, es un sistema de andar por casa, ni switch ni nada, un router, y varios pc que se conectan a el por wifi, y añadiendo mi propio pc, sin antivirus ni firewall (que era facilmente spoofeado en mi propia, y en esta otra red no se puede).

Saludos

Siento revivirlo de esta manera, pero nadie es capaz de decirme con certeza lo que pasa.
Me poneis el caso de que es una red muy compleja, y no es asi, es un sistema hogareño simple, sin switches ni nada, simplemente un router con su wifi y pc que se conectan a este.

Si os sirve de algo deciros que tengo aceso a la configuración del router.
Me pregunto tambien, si es posible que haya podido crackear la pass wep si no permite la captura de ARP y el ettercap no lo consiga :S

Por favor no tengo manera, he leido mil y un documentos sobre arp poisoning, pero nada, no me dice nada de lo que yo sufro, ahi simplemente se habla de algunas medidas de seguridad que dicha red no sufre, para evitar arp, pero como ya digo no hay manera.

Saludos

Has probado a intentar el poisoning desde otros ordenadores de esa misma red?

asi es, incluso hacia ordenadores que no tienen av siquiera y no poisonea a nada ni a nadie, desde 3 ordenadores he provado.

Saludos

o sea que uno esta conectado por cable y el otro por wifi??

Yo probe recien poison en ethernet y wifi con ettercap y no tuve problemas

te recomiendo unos tips

asegurate que este funcionando libnet (q utiliza ettercap) como corresponde. (instala todo nuevamente)

asegurate de no perder conexion y que tengas visible (mediante switch) esas maquinas (ping 192.168.1.x)

usa el modo verbose de ettercap a ver si tienes alguna respuesta.

verifica que realmente sea el router al que apuntas.

y verifica las tablas arp en las maquinas que atacas a ver si se modifican

=D suerte!

ethercap no lo conozco por ser muy 'grande' ... para arp poison mi favorito:
http://su2.info/doc/arpspoof.php
Viene instalando el paquete dsniff, una tool simple y 'verbose'.

hola, soy nuevo como mi nombre lo indica, pero "jugando" con ettercap me a pasado que al no tener todas las librerias, no me funcionaba correctamente (parecía que si pero en realidad no ¿se entiende?) y finalmente mi aporte que una vez si me paso, viendo algunos videos y/o tutoriales, a veces estan mal, te indican que a target 1 le metas el host que quieres poisonear y que a target 2 le metas el router ¿sera ese tu problema? en fin es todo lo que puedo aportar, saludos a todxs!!!!