Ejercicio de envenenamiento caché ARP empleando Ettercap sobre Kali
Si deseas seguir esta práctica con un vídeo explicativo, aquí te dejamos paso a paso los Envenenamiento caché ARP empleando Ettercap sobre Kali
Las tablas caché ARP de toda máquina, son las que asocian la dirección MAC (Medium Access Control) del nivel 2 con las direcciones IP (de nivel 3). Si se logra "engañar" a cualquier host sobre esta asociación que tiene en su memoria RAM, es posible derivar el tráfico de una red Ethernet hacia la dirección que se desee. En este ejercicio, se demuestra de forma eminentemente práctica cómo se puede realizar esta actividad para que una vez comprendida seamos conscientes de cómo se realizar y comencemos a adoptar las medidas adecuadas para detectar este tipo de ataques y mitigarlos.
Bueno, vamos a hacer un nuevo ejercicio desde nuestra máquina virtual Kali. Para ello, buscamos dentro de las herramientas de envenenamiento de Ettercap. Ejecutamos Ettercap. Aquí dentro de Ettercap, seleccionamos qué interfaz es la que vamos a utilizar. En nuestro caso, es eth0. Y vemos que ya está iniciando un listado, un escaneo de hosts. Lo que quiero lanzar. Está escaneando rápidamente y me marca abajo en la ventana que ya tengo detectado que hay tres cosas que están vivas en esta red. Veo el listado de hosts y son los 10.0.2.2, 10.0.2.3 y 10.0.2.4, y cada uno asociado a una MAC. Abrimos Wireshark nuevamente. Nos da el mensaje que nos dice que es peligroso ejecutarlo como root. Seleccionamos una interfaz, en este caso nuevamente es la eth0, e iniciamos la captura. Vemos que ya hay algún tráfico y queremos comparar lo que sucede con cuando lanzamos el ataque de envenenamiento de la caché ARP, pero lo hacemos desde Ettercap. Queremos que se haga solo en un sentido. Aceptamos y ya está generando tráfico. Lo que tenemos aquí es el ataque del hombre en el medio. Vemos en pocos segundos que se ha detenido.
Y ahora volvemos a Wireshark. Dentro del Wireshark, nos interesa ahora analizar el tráfico que ha generado. De cerca. Vemos que hay una trama. Esa trama de la MAC 02 hacia la MAC 03 y la comparamos con las MACs que estamos viendo arriba. En esa trama, podemos ver que está la MAC origen y la IP origen. La asociación de máquinas. Seguimos buscando a ver hasta dónde se produce el envenenamiento. Y ahí, por ejemplo, vemos en amarillo que ya se ha detectado que hay una IP duplicada. Si lo vemos bien en ese campo, vemos que la MAC fuente es la que termina en 03. La comparamos con la de arriba y debería ser la IP 10.0.2.3. Vemos que la MAC destino es la 04. Que también, si lo comparamos con arriba, debería ser la MAC 04 respecto a la IP 10.0.2.4.
Y ahora analicemos el ARP. Es lo que está diciendo. Hay un envío que termina en la MAC 03. Que si miramos acá debería ser la IP 10.0.2.3. Y sin embargo, fíjense que abajo dice "Responder IP 10.0.2.2". Este es el ataque de envenenamiento. La red está diciendo: "Yo tengo la MAC 03 y me pide 10.0.2.2". De la tabla ARP del destino, este ARP va a guardar en su tabla que la MAC 03 está asociada a la IP 10.0.2.2.