Ejercicio de envenenamiento caché ARP empleando Ettercap sobre Kali

De CiberWiki
Revisión del 12:14 14 sep 2023 de Jcorletti (discusión | contribs.)
(difs.) ← Revisión anterior | Revisión actual (difs.) | Revisión siguiente → (difs.)
Si deseas seguir esta práctica con un vídeo explicativo,
aquí te dejamos el enlace:

Las tablas caché ARP de toda máquina, son las que asocian la dirección MAC (Medium Access Control) del nivel 2 con las direcciones IP (de nivel 3). Sobre este concepto y la Defensa por Capas tenemos un vídeo que lo explica de forma detallada (Direcciones IP y MAC). Si se logra "engañar" a cualquier host sobre esta asociación que tiene en su memoria RAM, es posible derivar el tráfico de una red Ethernet hacia la dirección que se desee.

En este ejercicio, se demuestra de forma eminentemente práctica cómo se puede realizar esta actividad para que una vez comprendida seamos conscientes de cómo se realiza y comencemos a adoptar las medidas adecuadas para detectar este tipo de ataques y mitigarlos.


Práctica de envenenamiento caché con ARP


Bueno, vamos a hacer un nuevo ejercicio desde nuestra máquina virtual Kali. Para ello, buscamos dentro de las herramientas de envenenamiento de Ettercap. Ejecutamos Ettercap. Aquí dentro de del programa, seleccionamos qué interfaz es la que vamos a utilizar. En nuestro caso, es eth0. Y vemos que ya está iniciando un listado, un escaneo de hosts, que es justamente lo que nos interesa lanzar.

Análisis de Host por Ettercap
Realiza un escaneo rápido y marca abajo en la ventana que ya tiene detectado tres hosts que están vivas en esta red. En este caso el listado de hosts son los 10.0.2.2, 10.0.2.3 y 10.0.2.4, y cada uno asociado a una MAC. Abrimos Wireshark, que nuevamente nos da el mensaje que nos dice que es peligroso ejecutarlo como root. Seleccionamos una interfaz, en este caso nuevamente es la eth0, e iniciamos la captura. Lo que buscamos con esto es comparar lo que sucede cuando lanzamos el ataque de envenenamiento de la caché ARP que hacemos desde Ettercap. 


Nos preguntará si queremos hacer sniffing en conexiones remotas o envenenamiento en un solo sentido. Para este caso nos interesa que se haga solo en un sentido. Aceptamos y ya estreá generando tráfico. Detenemos el ataque (conocido como el ataque del hombre en el medio) y volvemos a Wireshark.


Dentro del Wireshark, nos interesa ahora analizar el tráfico que ha generado Ettercap de cerca. Este es el resultado: 
Análisis de tráfico Ettercap desde Wireshark

Vemos que hay una trama. Es la trama de la MAC 02 hacia la MAC 03 que podemos comparamos con las MACs que estamos viendo arriba. En esa trama, podemos ver que está bien en el ARP la asociación entre la MAC y la IP origen. Seguimos buscando a ver hasta dónde se produce el envenenamiento. Y ahí, por ejemplo, vemos en amarillo que ya se ha detectado que hay una IP duplicada.

Trama duplicada por envenenamiento caché ARP

Si lo vemos bien en ese campo, vemos que la MAC fuente es la que termina en 03. La comparamos con la de arriba y debería ser la IP 10.0.2.3. Vemos que la MAC destino es la 04. Que también, si lo comparamos con arriba, debería ser la MAC 04 respecto a la IP 10.0.2.4.

Y ahora analicemos el reply ARP ("Address Resolution Protocol (reply)"). Es lo que está diciendo. Hay un envío que termina en la MAC 03. Que si miramos acá debería ser la IP 10.0.2.3. Y sin embargo, fíjense que abajo dice "Sender IP 10.0.2.2". Este es el ataque de envenenamiento. La red está diciendo: "Yo tengo la MAC 03 y mi IP es la 10.0.2.2". Entonces, la caché del ARP del destino de este reply ARP va a guardar en su tabla que la MAC 03 está asociada a la IP 10.0.2.2. y así pues queda envenenada.