jueves, 12 de septiembre de 2013

Sniffer espiando el trafico en nuestra red local :)

En este post veremos algunas cosas que podemos lograr con el sniffeo en alguna red local.

¿Que es un sniffer y que podemos hacer con el? un sniffer es un software con el cual podemos ver el tráfico de nuestra red local, para poder ver el tráfico de nuestra red la tarjeta de red que estemos usando debe de ponerse en modo promiscuo, el modo promiscuo se activa automática mente al configurar nuestro sniffer y lanzar el análisis de nuestro trafico.
Osea es estar de chismoso viendo lo que los demás están haciendo en nuestra red XD

Bueno en este ejemplo utilizaré como atacante a una maquina con kali-linux y la vitcitma será un Windows 7 ultimate

Lo primero que haremos es mandar llamar a nuestro programa. kali linux trae varios sniffers pero en esta ocasión usáremos ettercap.

el comando para mandarlo llamar será ettercap -G (ojo podemos manejar ettercap de varias maneras el parámetro -G es para mandarlo llamar de forma gráfica)



siguiente paso será ir al menu Sniff y seleccionamos Unified sniffing ahi lo que haremos es seleccionar la interface de red que estamos utilizando, como en este caso yo estoy conectado por medio de cable de red ethernet mi interfaz de red será eth0


una vez le hemos dado click a Unified sniffing seleccionamos la interfaz eth0 como habíamos mencionado anteriormente

Una vez que hemos dado click en el boton de ok vemos como los menus cambian y en la parte inferior nos da varios mensajes de cosas que "cargo ettercap" como lo son plugins, puertos y otras cosas mas

El siguiente paso será ver todos los dispositivos conectados a la red para eso nos vamos al menu Hosts y damos click en Scan for hosts (también podemos presionar la combinación de teclas Ctrl + s)


Ahora procedemos a ver los hosts que encontró ettercap, para verlos hosts que encontró vamos al menu Hosts y despues damos click en Hosts list


En este caso a mi me detectó 4 hosts y veamos cuales fuerón

En este caso seleccionaremos como nuestra victima el dispositivo con el ip 192.168.1.20 esa será nuestra victima otra cosa que necesitamos saber es cual es la ip del router, para saber la ip del router tenemos el siguiente comando:
route -n

Ahi podemos observar que la ip local del modem es 192.168.1.254 ya que es lo que le corresponde al Gateway o puerta de enlace.
¿Por que necesitamos saber la ip de nuestra vitima y del router? la respuesta es sencilla, lo que vamos a hacer es ponernos "en medio de ellos 2" para poder estar interceptando las comunicaciones
este tipo de ataque se conoce como man in the middle o ataque de hombre en medio.

Entonces aqui damos click al ip de mi victima y despues damos click al boton que dice Add to target 1


Ahi vemos que nos aparece el mensaje en la parte de abajo y dice Host 192.168.1.20 addes to TARGET 1.
Ahora le damos click a la ip del modem "192.168.1.254" y damos click en el boton que dice Add to Target 2

El siguiente paso sería ir al menu Mitm y seleccionar arp poisoning, pero antes de eso vamos a la computadora con windows 7 (que es nuestra victima) habrimos la consola de cmd y escribimos el comando:
arp -a

El protocolo ARP tiene un papel clave entre los protocolos de capa de Internet relacionados con el protocolo TCP/IP,
ya que permite que se conozca la dirección física de una tarjeta de interfaz de red correspondiente a una dirección IP.
Por eso se llama Protocolo de Resolución de Dirección (en inglés ARP significa Address Resolution Protocol).
Cada equipo conectado a la red tiene un número de identificación de 48 bits.
Éste es un número único establecido en la fábrica en el momento de fabricación de la tarjeta.

fuente: wikipedia

Entonces el comando arp -a me muestra las direcciones mac que le corresponde a cada dispositivo de la red.
Por que estoy mostrando esto por que veremos como es el cambio cuando se infectan las tablas arp con ettercap.


Entonces ahora si vamos al menu Mitm y seleccionamos Arp poisoning (envenenar arp :D )

Una vez selccionado Arp poisonin nos saldra el siguiente cuadro, ahi seleccionamos la opción que dice Sniff remote conections y damos click en el boton ok


Por ultimo vamos al menu Start y selecionamos start sniffing


Acontinuacion veremos como al principio con el comando arp -a la ip de kali (192.168.1.99) tiene la mac address 00-0c-29-3a-bc-f9 y la ip del moden (192.168.1.254) tiene la mac address 00-23-51-0c-5b-b9. Eso fue antes de lanzar el esnifeo en la segunda parte volvemos a poner el comando en la consola de windows arp -a y vemos como la ip del modem tiene la misma mac address que la ip de kali :D :D :D :D :D

En este caso nuestra victima esta entrando a la pagina http://www.directoriow.com y se va a loguear en su cuenta





Ahora vemos en la esquina superior derecha que el usuario ya se encuentra logueado :D


Ahora vemos que ettercap capturó el usuario y la contraseña del sitio donde se logueo la victima :) esto, fué posible por que la pagina usa http en vez de https y las contraseñas viajan por la red en texto plano en https las contraseñas estan encriptadas.

también podemos ver que aparece 2 vecese user con un pass diferente esto es por que el primero fue un error en la contraseña.


Esta es solo una pequeña muestra de todo lo que puede hacer ettercap, solo como comentario ettercap puede hacer muchisimas cosas mas (redirigir tráfico, ver las imagenes que esten viendo los usuarios conectados a la red, etc etc).

Hay programas que detectan este tipo de ataques, el antivirus eset detecta cuando alguien esta infectando las tablas arp, y hay muchos programas mas que detectan este tipo de ataques ya te tocará investigar.

Espero haya quedado todo muy claro :D

36 comentarios:

  1. Muy bien! Gracias por compartir!

    ResponderEliminar
  2. Pronto subire mas contenido con la misma forma de explicar espero que lleguen muchas personas eso motiva para hacer mas y mejores cosas

    ResponderEliminar
    Respuestas
    1. Hola soy nuevo en esto pero me interesa mucho solo una duda se necesita alguna versión de linux para poder hacer eso ??

      Eliminar
    2. hola, soy nuevo en Kali aun estudiante y me interesa mucho, este tipo de tutoriales. me gustaria saber donde puedo acceder a mas cosas, y ademas si puedes recomendarme un libro para kali. gracias...

      Eliminar
  3. muy bueno a ponerlo en practica entonces

    ResponderEliminar
  4. Buenisimo, solo una pregunta estoy haciendo un trabajo para la universidad y necesito capturar el trafico entre 2 routers que trafico puede capturarse si no usan http??

    ResponderEliminar
  5. Hola, muy bueno tu Pagina, una consulta es nesesaria esta linea para poder capturar trafico??

    sysctl -w net.ipv4.ip_forward=1

    ResponderEliminar
  6. muy bueno si tienes algo mas aunque sea diferente favor de compartirlo explicas bien y eso que no es video xd

    ResponderEliminar
  7. muy bueno gracias a espiar a los vecinos XD grax

    ResponderEliminar
  8. Hola amigo, tengo instalando Ettercap en Ubuntu, pero en el momento de seleccionar mi tarjeta a utilizar no me la reconoce.
    Al colocar un ifconfig me reconoce mis tarjetas y al colocar un iwconfig me muestra que claramente estoy conectado con mi tarjeta inalámbrica sin problemas. También instalé todas las librerías correspondientes antes de lanzar el programa, además descomente las lineas dentro del archivo etter.conf. Cual será el problema? Saludos y gracias.

    ResponderEliminar
    Respuestas
    1. mira que tengas todos los drivers de tu tarjeta insatalados

      Eliminar
  9. Hola jedi genial el post saber estas cosas me motivan a aprender mucho mas, gran post. Yo tengo uno similar de ettercap sobre como detectar intruders dentro de una red local y lo comparto con ustedes http://zona-cer0.blogspot.com/2013/09/encontrar-sniffers-promiscuos-y.html

    ResponderEliminar
  10. Realmente muy bueno, muchas gracias Rodolfo, te admiro =D

    ResponderEliminar
  11. esto no funciona si la web utiliza https

    ResponderEliminar
  12. Esto funciona también si lo hacemos contra un smartfhone con android?

    ResponderEliminar
  13. Cuando hago esto, donde estoy atacando no me deja abrir ninguna pagina web

    ResponderEliminar
    Respuestas
    1. puede ser proteccion propia del navegador o del antivirus, o en su defecto algo fallo durante el inicio del sniffing

      Eliminar
  14. Buen aporte pana, porque no haces un video sobre este post

    ResponderEliminar
  15. Como puedo revertir los cambios, mi wifi tiene problemas ahora

    ResponderEliminar
    Respuestas
    1. tienes que detener el sniffing

      Eliminar
  16. Que programa utilizo para capurar datos en ordenadores que no estan conectados a mi red?

    ResponderEliminar
  17. HI,
    Is there any mobile app review or guest post opportunity on http://hacking-pentesting.blogspot.com/?
    Sincerely,
    Mary Joy.

    ResponderEliminar
  18. Hola amigo yo tengo una apk que encuentra la direcciones a las que se conectan por ejemplo de whatsapp que es por ejemplo s.whatsapp.com mas puerto s.whatsapp.com:443 quisiera saber si en algun programa de kali linu se podra hacer lo mismo.

    ResponderEliminar
  19. hola Feliciotaciones el blog esta excelente, hice todos los pasos, al momento de inciar ettercap en la opcion grafica me da este mensaje.

    20388 mac vendor fingerprint
    1766 tcp OS fingerprint
    2182 known services
    Lua: no scripts were specified, not starting up!
    Starting Unified sniffing...

    Alguna idea
    Gracias

    ResponderEliminar
  20. Cómo se puede ver las web en las que están los usuarios conectados a la red?

    ResponderEliminar
  21. Siempre que intento iniciar el sniffin me sale "Lua: no scripts were specified, not starting up!" ya he intentado muchas cosas pero no logro echarlo a andar. Sabes que puede ser? estoy usando el ultimo release de kali

    ResponderEliminar
  22. Buen post :D ahora que alguien se atreva a robarme wifi, y le robaré mucho más que wifi devuelta >:D

    ResponderEliminar
  23. Bueno de alguna manera es valido si tienes una red y tienes muchos "no deseados" en esta misma un Sniffer y a ver que tanto ve con tu red XD

    ResponderEliminar