Man in the Middle Attacks

¿Que es?

Man in the Middle o también llamado “hombre en el medio” ,es un tipo de ataque que consiste en interceptar las comunicaciones entre dos objetivos. El atacante puede escuchar o capturar todo lo que ocurre entre ambos objetivos,que normalmente no debería ocurrir.

Drawing

Tipos de herramientas para ejecutar el ataque

  • Arpspoof

  • Ettercap

  • Bettercap

  • Mitmf

Proceso de ataque ArpSpoof

Recopilación de información

Antes de realizar el ataque como siempre se debe realizar la recopilación de información de los objetivos.

Lo que se realiza es una captura de paquetes ARP ,en esta captura se puede obtener información como:

  • IP

  • MAC

  • Tipo de dispositivo / Sistema operativo

Una de las herramientas que se puede usar es NetDiscover.

sudo netdiscover -i wlan0 -r 192.168.0.1/24

Se coloca la interfaz y el rango de IP, tiene varias funcionalidades.

Esto se puede ampliar y se puede usar herramientas como nmap para obtener mas información del cliente.

  • Obtener puertos

  • Versiones de servicios

nmap -sCV --open --top-ports 192.168.0.1/24

Realizar el ataque

Antes de empezar el ataque se debe saber que es ARP.

Tenemos el protocolo de resolución de direcciones o ARP. ARP es un protocolo de la capa de red utilizado para convertir cualquier dirección IP en una dirección física. ARP se usa para vincular nuestra dirección IP a la dirección MAC para comunicarse con cualquier dispositivo en tu red.

Este ataque va a consistir en un envenenamiento de ARP, también conocido como ARP spoofing o envenenamiento de tablas ARP. Es decir consiste en enviar respuestas ARP falsas a los dispositivos de una red local para hacerse pasar por el router (Gateway) o por otro dispositivo.

Pasos con arpspoof

  1. Habilitar reenvío de IP en el atacante:

    echo 1 > /proc/sys/net/ipv4/ip_forward

  2. Contaminar la tabla ARP del cliente objetivo:

    arpspoof -i wlan0 -t [IP del objetivo] [IP del router]

  3. Contaminar la tabla ARP del router:

    arpspoof -i wlan0 -t [IP del router] [IP del objetivo]

Acciones posibles en un ataque de "Man-in-the-Middle" (MITM):

  • Redirigir al objetivo a cualquier sitio web

  • Robo de cookies

  • Inyectar un keylogger

  • Capturar capturas de pantalla

  • Capturar imágenes de la cámara del dispositivo

  • Modificar o manipular datos enviados

  • Escuchar comunicaciones

  • Redirigir comunicaciones a través de proxies maliciosos

  • Inyección de contenido malicioso

  • Interceptar y modificar respuestas de servidores

  • Robo de credenciales

  • Realizar un ataque de denegación de servicio (DoS)

  • Interceptar y redirigir pagos en línea

  • Instalar ransomware

  • Alteración de la configuración del sistema

Mas información

https://www.welivesecurity.com/la-es/2014/02/11/como-funciona-arpspoof/

https://www.terranovasecurity.com/blog/man-in-the-middle-attacks

AnteriorCracking WPA/WPA2 con HashcatSiguienteVectores de Ataques(Vulnerabilidades comunes)

Última actualización