UNIVERSIDAD DE LAS FUERZAS ARMADAS ESPE

DEPARTAMENTO DE CIENCIAS DE LA COMPUTACIN

SEGURIDADES INFORMTICAS

Sangolqu, Ecuador
26 de junio de 2014



PRCTICA N 2


Chandi Argoti Lizeth Paola. ([email protected])
Andrade Tandazo Ramiro Ernesto ([email protected])

Tutor: Ing. Juan Fernando Galrraga


ATAQUE MAN IN THE MIDDLE



2
TABLA DE CONTENIDO
1. RESUMEN 3
2. INTRODUCCIN Y OBJETIVOS 3
3. MARCO TERICO 3
4. DESARROLLO 4
4.1. MATERIALES Y REQUISITOS 4
4.2. METODOLOGA 4
4.2.1. TOPOLOGA 4
4.2.2. HERRAMIENTAS Y SOFTWARE 4
4.2.3. INICIANDO EL ATAQUE 5
4.2.4. DETERMINANDO OBJETIVOS DEL ATAQUE 7
4.2.5. ARP POISONING/SNOOPING 9
4.2.6. PROCESO DE SNIFFING 10
4.2.9. FINALIZANDO EL ATAQUE 13
5. CONCLUSIONES 14
6. RECOMENDACIONES 15
7. REFERENCIAS BIBLIOGRFICAS 15




















3
1. RESUMEN

El presente documento describe los pasos a seguir para implementar un ataque Man In The
Middle, con el fin de evidenciar una tcnica de ataque a la integridad de la informacin. El sistema
operativo utilizado para esta prctica es Windows XP, segn lo solicitado en la prctica misma,
instalado dentro de una mquina virtual.
2. INTRODUCCIN Y OBJETIVOS

La confidencialidad e integridad son aspectos fundamentales de la seguridad de la informacin, por
lo que todo profesional relacionado a la misma debe estar consciente de los diferentes tipos de
ataques que pueden la afectar, as como las tcnicas que permitan reducir el impacto de estos
ataques. La presente prctica es desarrollada en el sistema operativo Windows XP.

Objetivos:

Conectarse a una red y escuchar el trfico de la misma.
Realizar un sniffing.
Obtener las tablas ARP.
Implementar la tcnica ARP Poisosing
Interceptar datos sensibles como contraseas de un protocolo no seguro, HTTP
3. MARCO TERICO

ARP Poisoning
ARP Spoofing o ARP Poisoning, es un tipo de ataque informtico Man-in-the-Middle que
hace uso de las tablas ARP para interceptar la informacin de una determinada MAC
Address de una red.

Man in the Middle
Su traduccin, ataque de Hombre En El Medio, es un tipo de ataque informtico en el cual
el atacante se posiciona entre dos puntos de una red que se estn intercomunicando con el
objetivo de leer y/o modificar esta transmisin de datos.

Sniffier
Su traduccin no literal del ingls es oler y se refiere a las aplicaciones que permiten
interceptar paquetes de una red, con el fin de obtener informacin sensible o confidencial.

Virtualbox
Software de virtualizacin de cdigo abierto, multiplataforma, propiedad de Oracle.

Ettercap:
Software interceptor, o sniffer, que afecta a redes LAN. Posee la capacidad de interceptar
conexiones que hagan uso de SSH y SSL.

Winpcap
(Windows Packet Capture) es un software de cdigo abierto que contiene las libreras
necesarias para que programas como Zenmap y Ettercap sean capaces de capturar paquetes
de la red.

4
4. DESARROLLO

4.1. MATERIALES Y REQUISITOS

Computadora con plataforma Windows XP
Software Ettercap
Computadora a ser atacada, disponible para pruebas

4.2. METODOLOGA

4.2.1. Topologa

La topologa en la que desarrollar la prctica presenta una mquina atacante, un router, una mquina
vctima y otros dispositivos conectados a la red que tambin son susceptibles de ser intervenidos, como
se muestra en el siguiente grfico.


4.2.2. Herramientas y software

Para empezar se deben instalar las herramientas descritas en el punto anterior en la computadora en la
que vamos a realizar el anlisis, mquina virtual. Las herramientas y software estn disponibles en las
URLs descritas en la Tabla 1.



Windows
XP
Windows
XP
Windows
7

5
HERRAMIENTAS Y SOFTWARE
Winpcap https://www.winpcap.org/install/
Ettercap http://sourceforge.net/projects/ettercap/files/unofficial%20binaries/windows/
http://ettercap.github.io/ettercap/
Tabla 1. Herramientas y fuentes de descarga

4.2.3. Iniciando el ataque

En primer lugar, instalamos WinPcap y Ettercap.








6
Paso siguiente, ejecutamos Ettercap.





A continuacin seleccionamos la opcin Unified sniffing del men Sniff.





Resultado del paso anterior:





Y posteriormente, podremos trabajar con ms opciones en la barra de mens. Seleccionaremos la
opcin Hosts list de la opcin Hosts


7



Esta opcin abrir una pestaa con la IP y MAC Address de los dispositivos conectados a la red. Por el
momento est vaca, as que tendremos que utilizar la opcin Scan for hosts para obtener la
informacin deseada













4.2.4. Determinando objetivos del ataque

A continuacin, seleccionaremos la mquina a la cual queremos atacar, en este caso, corresponde a la IP
192.168.1.105, y damos clic en Add to Target 1.

8




Paso siguiente, seleccionaremos la IP correspondiente al router, es decir, la direccin 192.168.1.1 y
daremos clic en Add to Target 2.





ANTES DEL ATAQUE

Ahora, antes de proceder, verificaremos las tablas ARP para determinar las MAC Address de los
dispositivos conectados a la red. Para esto ejecutamos el comando: arp a


9



4.2.5. ARP Poisoning/Snooping

Para empezar con el ARP Poisoning, que nos permitir suplantar la puerta de enlace para la mquina
vctima y as que todo el trfico pase primero por la mquina atacante. Para esto, elegiremos la opcin
ARP poisoning del men MitM (Man-in-the-Middle), y marcaremos la opcin de Sniff
remote connections.








A continuacin, podremos determinar que se crean dos grupos de vctimas de ARP Poisning.


10




DESPUS DEL ATAQUE

Ahora, el proceso de ARP Poisoning debera estar completo, por lo que podemos comprobar en la
mquina vctima que la computadora atacante(192.168.1.5) tiene la misma MAC Address que el router
(IP 192.168.1.1) Para comprobar las tablas ARP, ejecutamos el comando arp a.




4.2.6. Proceso de Sniffing

Una vez completado el ARP Poisoning, procedemos a escuchar el trfico producido por la vctima.
Damos clic en la opcin Start Sniffing del men Start.




Nuestra computadora atacante ahora escuchar el trfico e informar de actividad que tenga lugar en
los protocolos no seguros (HTTP, POP3, FTP, etc). Para este caso, demostraremos la lectura de datos
sensibles del protocolo HTTP.

11


Ingresamos datos en el Login de esta pgina, y a pgina web nos informar, con muchsima razn, que
los datos ingresados son incorrectos.












12


Este proceso se puede llevar a cabo a un sin nmero de pginas que no cuentan con el protocolo
HTTPS

1.


2.



13
4.2.9. Finalizando el ataque

En primer lugar, detendremos el ataque de Man-in-the-Middle desde el men MitM, opcin Stop
mitm attacks.





La detencin del ataque de Man-in-the-Middle revertir el proceso de ARP Posining, permitindole a la
vctima conectarse nuevamente a la verdadera puerta de enlace.






Al final, dejamos de escuchar el trfico.



14
4.3. RESULTADOS Y ANLISIS

El trfico HTTP captado por Ettercap fue el siguiente:






Por lo que podemos determinar informacin bastante sensible:

HTTP: IP con su respectivo protocolo.
INFO : URL accedida
USER : Nombre de usuario
PASS: Contrasea


As, a travs de este ejemplo, se pudo violar la confidencialidad e integridad de la informacin.

5. CONCLUSIONES

La presente prctica puede ser realizada en cualquier otra plataforma, GNU/Linux, debido a
que el funcionamiento de Ettercap sobre Windows XP o cualquier otro sistema operativo no
difiere. Ettercap funciona correctamente en Windows XP, y adems en versiones Linux, gracias
a que se trata de un software libre y multiplataforma.

Ettercap en su men, en la opcin View - Show connections, se visualiza todo el trfico
de la vctima, incluyendo protocolos seguros. Ettercap es una herramienta amplia y fuerte, que
a ser investigada con mayor profundidad se pueden obtener datos an ms sensibles y de
protocolo incluso seguros.

Se realiz un ataque a un protocolo no seguro, HTTP, y se obtuvo datos de manera rpida y
sin complicaciones para el atacante, evidenciando el proceso para vulnerar la confidencialidad e
integridad de esta informacin. El proceso se puede repetir para gran variedad de protocolos:
POP3, FTP, etc.



15
6. RECOMENDACIONES

Ettercap posee gran variedad de plugins, que sin duda facilitan y complementan el trabajo a
realizas, por lo que es recomendable analizar dichos plugins para as poder sacar mayor
provecho de la herramienta Ettercap.

Si bien, la prctica ha sido llevada en la plataforma Windows XP, es necesario recordar que
Ettercarp trabaja en cualquier plataforma, sin embargo se recomienda, llevar a cabo la prctica
para mayor entendimiento dentro de los dos entornos, plataformas propietarias y no, de modo
que se pueda visualizar que en s, el software no presenta variantes en dichas plataformas

Ettercap dentro de Windows XP, present dificultades de principio, puesto que la versin en la
que se llev a cabo no permita el ataque Arp Poisoning, sin embargo, tras investigacin se
pudo realizar el ataque y por lo cual se recomienda que en la plataforma Windows XP se
utilice Ettercap en versin no mayor a 0.7.3

7. REFERENCIAS BIBLIOGRFICAS


Lakshmanan Ganapathy (10 de Mayo de 2012). Ettercap Tutorial: DNS Spoofing & ARP
Poisoning The Geek Stuf: http://www.thegeekstuff.com/2012/05/ettercap-tutorial/

Aetsu. (22 de octubre de 2009). Manual bsico ettercap (entorno grafico). Portal Hacker:
http://www.portalhacker.net/b2/guia-basica-ettercap-entorno-grafico/94299/

Colaboradores de Wikipedia. (11 de marzo de 2013). Ettercap. Wikipedia, La encliclopedia
libre: http://es.wikipedia.org/w/index.php?title=Ettercap&oldid=64856414

Colaboradores de Wikipedia. (5 de septiembre de 2013). Ataque Man-in-the-middle . Wikipedia,
La enciclopedia libre: http://es.wikipedia.org/w/index.php?title=Ataque_Man-in-the-
middle&oldid=69452204