|
Título: MITM en una red grande, raro raro... Publicado por: Distorsion en 30 Enero 2012, 20:07 pm Buenas,
estoy de becario en una empresa de seguridad y me han dejado trastear con una red bastante grande :DD Resultado: frustrante xD Ataque: MITM Lo llevaba preparado de casa, en mi wifi funciona, allí no. Escenario: Rango: 10.50.0.0 con broadcast 10.50.255.255, vamos una red que admite muchos hosts. Mi puerta de enlace sacada con route -n: 10.50.0.1 La MAC no puede estar hardcodeada porque es una red donde la gente lleva su portatil y se conecta en las bocas disponibles. A no ser que la hardcodeen por bocas de conexion o a saber. Ataque: arpspoofing eth0 10.50.0.1 ---> Sin resultados Como que era muy basto he intentado con un objetivo en concreto: arpspoofing eth0 -t 10.50.x.y 10.50.0.1 ---> Sin resultados Donde 10.50.x.y era otro pc mio conectado a la red, su tabla arp no cambiaba. Al final he cogido el ettercap y tras un scaneo de hosts he echo un MITN desde él. ---> Sin resultados Sabeis si hay alguna manera de evitar el cambio de MAC de una puerta de enlace? O algo que este causando que esto no funcione? Gracias!! Título: Re: MITM en una red grande, raro raro... Publicado por: Fastolfe en 30 Enero 2012, 20:24 pm Un IDS que guarda las ARP request hasta comprobar que son legitimas? (hasta comprobar que despues de la primera no van otras 500 por segundo quiero decir).
Yo creo que si que podría hacer para que descarte todas las ARP request que mande un ordenador si las manda en masa, no? Título: Re: MITM en una red grande, raro raro... Publicado por: OLM en 30 Enero 2012, 20:38 pm Si las tablas ARP están estáticas no podras hacerlo ¿Has probado a hacer MITM entre 2 host y no hacia la puerta de enlace? Prueba haber si funciona y vas descartando posibilidades.
Un Saludo. Título: Re: MITM en una red grande, raro raro... Publicado por: adastra en 31 Enero 2012, 00:30 am Utiliza wireshark y analiza los paquetes que se intercambian entre tu maquina, el router y la víctima. Pero vamos, seguro que tienen un sistema de protección con tablas ARP estáticas o un NIDS que identifica el ataque y actúa en consecuencia... Intenta otro vector de ataque, no siempre los ataques ARP funcionan, pero intentando encontraras alguna forma, tienes la ventaja de que tienes permiso para "jugar".... :)
Título: Re: MITM en una red grande, raro raro... Publicado por: Distorsion en 31 Enero 2012, 22:38 pm Pues me pasado un segundo por la red a hacer un 'arp -a', sorpresa, según Windows la tabla arp, toda es dinámica, incluido el gateway....
He intentado borrarla haber su me la volvía asignar, pero no tenia privilegios en el pc, no llevaba mi portátil para enchufarme. Otra cosa que me ha parecido curiosa, había dos IPs: 10.50.1.2 (parece que ofrece algún servicio, el otro día también estaba) 10.50.1.174 Las dos tenían la misma MAC, osea son la misma maquina... Por lo tanto la red permite MACs duplicadas, a no ser que tengan una excepción con esa... :rolleyes: :o Título: Re: MITM en una red grande, raro raro... Publicado por: Distorsion en 2 Febrero 2012, 14:21 pm Ya se que pasa:
http://en.wikipedia.org/wiki/DHCP_snooping http://www.cisco.com/en/US/docs/switches/lan/catalyst3560/software/release/12.2_20_se/configuration/guide/swdynarp.pdf Alguna idea de como saltarselo? En principio esta técnica la debe tener implementada cada switch o hub. |