Esta es una técnica utilizada para infiltrarse en una red Ethernet y puede permitir al atacante capturar paquetes de la red LAN, modificarlos o deternerlos.
El principio es enviar paquetes ARP falsos a la red, asociando la dirección MAC del atacante con la dirección IP del atacado, y haciendo creer al atacado que nosotros somos la puerta de enlace predeterminada (gateway), así cualquier paquete con destino hacia el atacado será enviado al atacante, en vez de su destino real. Ahora el atacante puede elegir entre reenviar los paquetes a la puerta de enlace o modificar los paquetes antes de enviarlo.
Para esto vamos a usar arpspoof y wireshark.
Instalamos arpspoof que viene en el paquete dsniff.
$ sudo yum install dsniff
Ahora debemos abrir dos terminales.
En uno ponemos
$ arpspoof -i eth0 -t 192.168.1.15 192.168.1.1
Y en otro:
$ arpspoof -i eth0 -t 192.168.1.1 192.168.1.15
La dirección IP del nodo atacado es la 192.168.1.15, y vamos a hacerle creer que nosotros somos la puerta de enlace, así todo lo que envie pasará por nosotros y lo veremos con wireshark.
Si queremos volver a reenviar lo que nos llege desde 192.168.1.15, debemos hacer
$ echo 1 > /proc/sys/net/ipv4/ip_forward
Ponemos el sniffer para ver que hay en la red. Resultado:
No hay comentarios:
Publicar un comentario