Nos mudamos!

Nos mudamos a http://zoftweb.com Gracias por visitarnos!


domingo, marzo 15, 2009

Notas sobre EtterCap

Hola Mortales..

Estoy Blogeando para ZoftCorp desde una cafecillo que se llama "The Hidden Place" en la calle tercera y como pueden imaginar otra red se acaba de unir a la lista de claves WEP que han sido violadas con ayuda de la suite AirCrack-ng. El día de hoy me gustaría agregar la entrada que les prometí sobre la suite ettercap-ng. Ettercap-ng es una herramienta muy usada dentro las pruebas de penetración (Pen-Testing), esta suite es básicamente para hacer ataques del tipo Man in the middle (MiTm).

Un ataque Man In The Middle es según WikiPedia:
un ataque man-in-the-middle (MitM o intermediario, en castellano) es un ataque en el que el enemigo adquiere la capacidad de leer, insertar y modificar a voluntad, los mensajes entre dos partes sin que ninguna de ellas conozca que el enlace entre ellos ha sido violado. El atacante debe ser capaz de observar e interceptar mensajes entre las dos víctimas. El ataque MitM es particularmente significativo en el protocolo original de intercambio de claves de Diffie-Hellman, cuando éste se emplea sin autenticación.

La manera mas sencilla de realizar este ataque es cuando accesa alguna red, una vez adentro un atacante puede ver todo el trafico que pasa por la red utilizando una técnica de envenenamiento de tablas arp (arp poisoning).Ettercap cuenta con plugins que le agregan funcionalidad como ataques DOS, buscar nic's en la red que esten trabajando en modo promiscuo, buscar a otros atacantes y detectar envenamiento de las tablas arp, entre otros.





Lo que se puede apreciar es una sesión de messenger que tuve con un amigo, en la foto solo estaba corriendo el sniffer que viene agregado en la suite, en ese momento no había clientes conectados y es por eso que ni siquiera intente envenenar el caché.

Si hubiese habido algún cliente vivo trabajando en la misma red y se hubiese lanzado un ataque de envenenamiento de caché mi pc hubiese funcionado
como Gateway y hubiese podido obtener información sensible como claves en texto plano, conversaciones de cualquier mensajero, etc.


Los parámetros mas básicos para el uso de esta herramienta son :

"sudo ettercap -T -q -M arp:remote // // -i wlan0"
Sudo - para poder obtener poderes de dios en nuestra máquina.

ettercap - nombre de la herramienta.


-T - Para trabajar en modo texto pero existen otras 2 interfaces

-q - para que no muestre todo lo que ve, a menos que quieras ver los paquetes en hexadecimal agrega este parámetro.

-M arp:remote - para el ataque Man In The Middle con el parámetro de
envenenamiento de caché <- esto es para que todo el trafico pase por nuestra maquina y podamos ver todos los paquetes que pasan toda por la red.

// // - este parametro le dice a ettercap que agrege a todos los clientes del segmento donde nos encontremos (ejemplo 192.168.x.0 netmask 255.255.255.0) pero podrias especificar una ip y un netmask ejemplo /10.x.x.x/ /255.255.255.0/

-i para agregar la interfaz con la que trabajaremos en mi caso wlan0 (osea wireless para los windowzeros).


Como ultima nota me gustaria agregar que el ataque de arp spoofing puede ser usado de manera genuina y un buen ejemplo es para mantener redundancia en una red:

Pretendamos que tenemos 2 servidores DNS y uno de ellos falla, podriamos usar este metodo (envenamiento de cache) para hacer una redireccion de trafico que sea transparente para los clientes mientras el servidor DNS caido es reparado.


Creo que es hora de tocar con mi banda....

Nos Vemos..

ZeroSoul13..