Este documento describe cómo realizar un ataque Man-in-the-Middle (MITM) en 4 pasos utilizando la herramienta Ettercap en Kali Linux. El ataque implica envenenar la tabla ARP de la víctima para que crea que el atacante es el gateway de la red, permitiendo al atacante interceptar y manipular el tráfico entre la víctima y el gateway real.
1. Realizando ataques Man In The Middle en
4 sencillos pasos
El objetivo de un ataque MITM es la redirección del tráfico no destinado a nosotros, a
través de un dispositivo que esta bajo nuestro control. Si un atacante está conectado a la
misma red inalámbrica que cualquier usuario de red es posible utilizar diversas técnicas
para lograr esto. Kali proporciona muchas de las herramientas necesarias para manipular
los servicios de red que modificarán el destino del tráfico de red generado por los clientes
legítimos conectados. Una vez realizadas las modificaciones, el tráfico generado por los
clientes se envía al ordenador del atacante para utilizar servicios como la resolución de
nombres (DNS) o simplemente para obtener salida a internet. Tener esta posición en la red
permite al atacante falsificar respuestas que van destinadas al cliente o capturar todo el
tráfico entre el cliente y la pasarela de red, normalmente el router que está conectado a
internet.
En el siguiente gráfico simple se muestra como se mantiene una comunicación normal entre
un usuario y el gateway de la red.
En cualquier red basada en IP, inalámbrica o no, la resolución de direcciones es
fundamental para el mapeo entre las capas de la pila OSI. Cuando un cliente tiene que
comunicarse con otro dispositivo de red que se encuentra en el mismo segmento de la capa
2. 2, solicitará la relación entre IP y MAC (Media Access Control) a través de un proceso
llamado ARP (Address Resolution Protocol). Este proceso dará lugar a una relación 1:1
entre una dirección IP y su dirección MAC asociada que se almacena en la tabla ARP del
cliente. Tras este proceso, cuando se van a enviar datos a otro dispositivo en el mismo
segmento de red, se utilizará la tabla ARP para determinar a qué direcciones MAC debe
enviar el mensaje. Esta funcionalidad puede ser explotada por un atacante que sea capaz de
manipular la tabla ARP del cliente e insertarse a sí mismo como la dirección MAC de
destino. El ataque que se utiliza para llevar a cabo esto se conoce como 'MAC address
spoofing' o 'envenenamiento ARP' (ARP poisoning). Mediante esta técnica se engañará al
dispositivo de la víctima para que crea que el equipo del atacante es en realidad su gateway
de red.
En el siguiente gráfico se muestra un esquema de comunicación una vez realizado el ataque
de envenenamiento ARP:
Para lograr esto vamos a utilizar la herramienta ettercap en su modo gráfico, y veréis como
se completa el proceso en 4 sencillos pasos.
Paso 1 - Abrir la herramienta ettercap en modo gráfico:
Paso 2 - Desde el menú 'Sniff' seleccionar 'Unified sniffing' y seleccionar la interfaz de red
que vamos a usar y que está conectada al mismo segmento de red que nuestra víctima.
3. Paso 3 - Desde el menú 'Host' pulsar en 'Host List' y seleccionar los dispositivos victimas
de nuestro ataque, en este caso el gateway y la víctima. Primero seleccionaremos el
gateway y pulsaremos 'Add to Target 1'. Posteriormente seleccionamos la víctima y
pulsamos en 'Add to Target 2'.
4.
5. Paso 4 - Desde el menú 'Mitm' pulsar en la opción 'ARP poisoning' y en la siguiente
ventana seleccionar sólo la check 'Sniff remote connections'. Veréis que en la ventana
inferior aparecen las IP y las direcciones MAC de las victimas.
6. Y ya hemos ejecutado el ataque MITM. Si pulsáis sobre el menú 'View' y la opción
'Connections' veréis el tráfico de red que se ha generado entre la víctima y el gateway de
red.
7. Una vez realizado el ataque podréis sniffear todas las comunicaciones que se emitan desde
y hacia la víctima, y podremos realizar otros ataques como veremos en próximos posts.
Saludos.