Buenas a todos los de la comunidad muy feliz porque ya se genero en espaniol
triste porque me banearon mi usuario antiguo "CHOP" pero bueno aqui estamos nuevamente para compartir.

Estas notas las tome es una investigacion sobre el protocolo ARP y las utlidades DSNIFF en backtrack.

Arp Poisoning

By GranCerote (Alias Chop!)

Investigacion hacerca Dsniff Tools:

Primero que todo Dsniff es un conjunto de Heramientas

* dsniff -> Sniffer de contraseñas
* filesnarf -> Captura y guarda ficheros pasados via NFS
* mailsnarf -> Captura el trafico POP3 y SMTP, guarda el resultado en formato mailbox
* msgsnarf -> Registra mensajes de sesiones de mensajería instantánea tipo msn.
* webspy -> Visualiza en tiempo real el trafico web de la victima inyectando el trafico en nuestro navegador.
* arpspoof -> Envenena la cache ARP
* dnspoof -> Falsifica respuestas DNS
* macof -> Inunda la red con direcciones MAC falsas provocando DoS
* sshow -> Analiza el trafico SSH en versión 1 y 2
* tcpkill -> Mata conexiones establecidas
* tcpnice -> Ralentiza conexiones.

Uno de los mas interesantes de estas herramientas pero muy útil es el arpspoof que es el cual nos envenena la cache ARP.
Pero Que es ARP

ARP son las siglas en inglés de Address Resolution Protocol (Protocolo de resolución de direcciones).
Es un protocolo de nivel de red responsable de encontrar la dirección hardware (Ethernet MAC) que corresponde a una determinada dirección IP. Para ello se envía un paquete (ARP request) a la dirección de difusión de la red (broadcast (MAC = ff ff ff ff ff ff)) que contiene la dirección IP por la que se pregunta, y se espera a que esa máquina (u otra) responda (ARP reply) con la dirección Ethernet que le corresponde. Cada máquina mantiene una caché con las direcciones traducidas para reducir el retardo y la carga. ARP permite a la dirección de Internet ser independiente de la dirección Ethernet, pero esto sólo funciona si todas las máquinas lo soportan.
Esta actualización es Dinamica como el DHCP de un server también se puede notar que este comportamiento no tiene un proceso de seguridad que revise si las peticiones son del switch o the un computador.

Otra cosa muy importante es que el protocolo ARP Trabaja en la capa 2 del modelo OSI




Con el comando ARP se pueden ver las tablas cache del computador

[IMG]h_ttp://c3.ac-images.myspacecdn.com/images02/121/l_c6f8ced1e8e94b638875d469056b1426.jpg[/IMG]

Como podemos observar contiene IP’s y Mac’s pero de que nos sirve toda esta informacion que acabamos de leer, si observamos en la tabla ahí una sección “TYPE” la cual consiste en si la entrada es dinámica o estatica que significa esto; que las entradas estatica no pueden ser actualizadas o cambiadas, en ese caso si la ruta cambia se generarían problemas de conexión peros si son dinamicas pueden ser actualizadas y forzadas a tomar rutas distintas.

He aquí donde viene nuestro programa arpspoof para infectar la red en la capa de enlace para redireccionar los paquetes a otra pc y de esa pc al router y asi poder ver el trafico como si de un HUB se tratara.
ARPSPOOF
Envenena la cache ARP
Nota: no puedes envenenar trafico con arpspoof en sistemas con una subnet distinta a la del atacante.
Ya con el conocimiento necesario Tomemos el siguiente esenario:

Vict(10.10.10.105) <--->Rout(10.10.10.1)<--->Atac(10.10.10.101)

Es el clásico Man In The Middle Attack (MITM)
Ejecutamos:

Arpspoof –I ath0 –t 10.10.10.105 10.10.10.1

Y en otra terminal:

arpspoof -i ath0 -t 10.10.10.1 10.10.10.105

Es muy importante poner atención al orden las IP’s ya que puede traer problemas a la hora de iniciar el ARPSPOOF
Tambien es necesario forwardear las peticiones de la maquina atacante al router nuevamente por esos necesitamos:

echo 1 > /proc/sys/net/ipv4/ip_forward

Si no te funciona puedes usar el command “FragRouter” que es un software para emular un router. Pero no entraremos en detalles.

Fragrouter –i {tu interface de red} –B1

si no hacemos esto, el tráfico quedara cortado para la victima y perderá la conexión, pudiendo así ser descubiertos.

En la tabla de ARP en la victima se notara un fenómeno como este:

[IMG]h_ttp://c3.ac-images.myspacecdn.com/images02/127/l_ed6aec67a391416cbb341c9ef21e8ca2.jpg[/IMG]


Como podemos notar la MAC address dela ip 10.10.10.1 que en este caso es el router a cambiado a la misma que tiene la maquina atacante (10.10.10.105).

Aunque paresca muy efectivo este método no me funciono muy bien.
El intento que tuve para monitorear correos no fue muy efectivo ya qno pude ver enviar correos mientras la aplicación corria.
Intente Test con todos sus herramientas sin éxito:

Dsniff: No sirvió del todo. (Necesita mas Research.) Tratar local en la VM. {sniff 4duple}
Utiliando mas verbose salen listados entradas de http pero con información invalida.

Msgsnarf: dio mejores resultados pero muy inestable. {msg externos, sniffeados pero no llegaban a su destinatario} {locales botaban la aplicacion} [msgsnarf | grep –i “Oct”] utilize el mes para filtrar los errores de stack.

Mailsnarf: parece no funcionar PCRouter , agrege un sender para doble chequiar el sniff. PCRouter + SenderPCRouter and the Mailsnarf comand fail with 0 results. (More Research!!)

Urlsnarf: Funciona a la perfeccion, se require un arpspoof PC Router y otro arpspoof router PC y luego abrir el urlsnarf y obtendrás todas las web visitadas, los PWDs o LOGINs no son mostrados en el log.

Webmitm: no reacciono ante ninguna web tal como objetivo.xx , myspace, gmail o . necesita mas research para probar su funcionalidad.

Webspy: funciona pero no roba sesiones lo cual no es muy útil, por eso el urlsnarf funciona mejor para este sentido de ver lo que navega el browser.
* sshow -> Analiza el trafico SSH en versión 1 y 2 {NO LO HE PROVADO}
Pero no me podía dar por vencido asi que tome otra alternativa

TEST 2

Utilizando el arpspoof con unión del Wireshark se peude extraer passwords como por ejemplo objetivo.xx
Aplicanto el siguiente filtro

Tcp contains “objetivo.xx” and tcp contains “POST”

En la cadena de “Line-based text data:”

Para obtener cuentas pop:
pop.request.command == PASS

Cuentas FTP texto plano:
ftp.request.command == USER
and then
ftp.request.command == PASS


Pass en general:
frame contains 50:41:53:53

http.request.uri contains login

http.request.method == POST
http.request.method == POST || http.request.uri contains login
http.request.method == GET
http.request.method == GET || http.request.uri contains login


Bueno esas fueron mis notas las cuales solo muestras como crear el envenamiento y no tuve exito con el resto de herramientas espero que alguien si lo logre y nos ayude en el post, si les gusta mi post tengo un mejor y q todo si sale bien de ETTERCAP!!

NOTA: Disculpen lo de los links pero no me permitia poner los ya q tengo pocos post.
por favor Corregir.