TUTORIAL ARP SPOOFING

WRITTEN BY K43L
2011
SEGURIDAD EN REDES LAN
1.- INTRODUCCION:
La seguridad informtica constituye en nuestros das un tema muy importante debido al
desarrollo de la tecnologa, cada da se van descubriendo nuevas vulnerabilidades y
mtodos de cmo poder explotar dichas vulnerabilidades, es por eso que todo ingeniero de
sistemas, administrador de redes, analista de sistemas, y en general toda persona que
estudia el mundo de la informtica debe conocer los pilares principales de cmo poder
defenderse de ataques provenientes tanto de fuera de nuestra red como dentro de la misma.
Es por eso que en el rea de la seguridad informtica se deben de tomar aspectos muy
importantes a la hora de implementar una buena seguridad en nuestra red.
Estos aspectos son conocidos en el mundo de la seguridad informtica como los tres pilares
principales y son los siguientes!
1.1.- Conf!"n#$%!$!.- La confidencialidad se refiere a la parte de seguridad de nuestros
archivos, documentos, soft"are, base de datos, etc.
#odo lo mencionado anteriormente debe de permanecer seguro, es decir se debe
implementar polticas de seguridad dentro de nuestra red y asignar privilegios tanto a los
traba$adores de una empresa como al personal administrativo de la misma.
1.2.- In&"'(!$!.- La integridad se refiere a la que todos los recursos que posee la empresa
deben permanecer en un estado ptimo, los datos no deben sufrir alteraciones, como ser
modificaciones ni eliminacin de los mismos.
1.3.- D)*on+%!$!.- La disponibilidad se refiere a que los datos, archivos, bases de datos
que la empresa posee deben estar disponibles ya sea cuando los usuarios o el personal
administrativo lo requieran, por esta ra%n es que muchas empresas y corporaciones tienen
problemas al momento de llevar a cabo ciertas actividades, un buen administrador de redes
debe asegurarse que los recursos siempre estn disponibles.
&l momento de administrar una red, debemos de preguntarnos que es lo que queremos
proteger, por e$emplo supongamos que estamos a cargo de una red y debemos administrarla
adecuadamente, estamos ante una responsabilidad muy importante de lo cual tenemos que
decidir que es lo ms importante de los siguientes recursos de una empresa!
,ARDWARE
SOFTWARE
ELE-ENTOS CONSU-IBLES
DATOS.
Estas cuatro categoras representan los recursos ms importantes que tiene una empresa, de
los cuales solo nos interesan los DATOS. esto tiene $ustificacin porque el hard"are puede
ser reparado o reempla%ado por uno nuevo, el soft"are puede ser borrado e instalado
nuevamente, los elementos consumibles tales como papeles para la impresora, para el fax,
tinta para la impresora y dems pueden ser cambiadas y compradas.
'ero frente a esto los D$&o) no pueden ser reempla%ados, debido a que una empresa
siempre esta en constante funcionamiento y tanto los datos, archivos, bases de datos,
siempre se estn actuali%ando, por lo tanto los datos de una empresa no se pueden comprar,
ni reempla%ar.
'ara evitar todos estos problemas se deben implementar buenas polticas de seguridad tanto
dentro como fuera de la empresa, se deben reali%ar copias de respaldo de los datos
programadas por el propio administrador de la red, este ultimo se debe reali%ar
peridicamente cada ve% que los usuarios y el personal administrativo modifica los mismos
y en horarios que no per$udiquen a los traba$adores de la misma empresa.
(asta aqu mencione aspectos importantes a la hora de mantener nuestra red segura,
obviamente existe mucho mas, lo que mencione solo son las partes mas fundamentales a la
hora de administrar una red adecuadamente. )n aspecto que hay que tener siempre en
cuenta es de que la seguridad al 100 / no existe, se puede aumentar la seguridad de una
empresa y tambin disminuir el factor del riesgo de la misma, debemos de tener en cuenta
de que cada da van apareciendo nuevas vulnerabilidades 0+1')2 y nuevos mtodos de
intrusin por lo que un buen administrador de redes debe estar al tanto de esto y
actuali%arse constantemente, ya sea va *nternet, asistiendo a seminarios o cursos de
actuali%acin.

2.- INTRUSION EN REDES DE AREA LOCAL:
Existen muchos mtodos por los cuales un atacante puede ingresar a nuestra red y
modificar, borrar, robar informacin valiosa de nuestra empresa, a continuacin explicare
uno de los mtodos mas conocidos a la hora de vulnerar sistemas en una red local, se trata
nada mas y nada menos de la tcnica de 0ARP SPOOFING2
Esta tcnica es muy usada en redes de poca seguridad y lamentablemente despus de que
muchos administradores hayan pasado por este tipo de ataques no implementan medidas de
seguridad ms rigurosas dentro de su red, por lo que atacantes dentro de la misma empresa
contin+an explotando este tipo de ataque.
'ara entender en que consiste este tipo de ataque, primero explicare algunos conceptos y
definiciones que creo que son importantes si queremos entender en que consiste este tipo de
ataque.
& continuacin explicare algunos conceptos fundamentales respecto a las 0REDES
INFOR-ATICAS2. empe%ar por mencionar las capas del conocido modelo OSI que
tiene mucho que ver en este aspecto.
2.1 E% 3o!"%o OSI.- La comunicacin de datos entre dos dispositivos de red, sigue la
siguiente pila de capas del modelo ,-*
2.2 C$*$) !" A*%#$#4n. P(")"n&$#4n 5 S")4n.- Los datos que salen de una
computadora se preparan en estas tres capas, estos datos pueden operar en distintos
protocolos dependiendo del tipo de servicio al que se est accediendo en ese instante, ya
que podra tratarse de la recepcin y.o transmisin de un documento /eb, transferencia de
ficheros usando alg+n protocolo de comparicin de archivos, correos electrnicos, etc. Los
protocolos que operan en estas capas ms com+nmente son!
FTP: para la transferencia de archivos.
,TTP: para la transferencia de ficheros de hipertexto.
S-TP6POP: para la transferencia de correos electrnicos
DNS: para la resolucin de descubrimiento de direcciones de red.
TELNET6SS,: para el acceso a equipos remotos.
#odos los paquetes que salen empaquetados en esta capa son etiquetados con el *(o&o#o%o a
la que est destinado el paquete, adems de contener los datos de los ficheros que estn
preparados para ser transportados.
2.3 C$*$ !" T($n)*o(&".- En esta capa se recibe el paquete que lleg de la capa de
aplicacin para ser empaquetado en otro paquete, etiquetndolo con el n+mero de puerto de
la computadora que origina el paquete y el n+mero de puerto de la computadora de destino.
Existen puertos reservados que no se los pueden usar arbitrariamente ya que pertenecen a
ciertas aplicaciones.
0 $% 1023: 'uertos para servicios y.o aplicaciones como ser (##', -0#'.',',
#elnet, etc.
1024 $% 47181: 'uertos usados por alguna aplicacin individual instalada por el
usuario.
47182 $% 98838: 'uertos privados.
Los protocolos que operan en esta capa son!
TCP
UDP
2.4 C$*$ !" R"!.- Esta capa encapsula en un nuevo paquete, el paquete recibido de la capa
de transporte, y lo etiqueta con las direcciones *' del host origen y del host de destino. Los
protocolos que operan en esta capa son!
IP: en sus versiones 1 y 2
IP)"#. IP! segura
IC-P: para la verificacin de conectividad entre 3 hosts.
OSPF. IS-IS: protocolos para enrutadores.
2.8 C$*$ !" En%$#" !" !$&o).- En esta capa se empaqueta en un nuevo paquete, el paquete
obtenido de la capa de red y se lo etiqueta con las direcciones -AC del host y.o dispositivo
de origen y de destino. Los protocolos que operan en esta capa son!
ARP: para la resolucin de direcciones de red.
2.9 C$*$ F:)#$.- En esta capa se reali%a la recepcin del paquete recibido de la capa de
enlace de datos para darle un formato adecuado de acuerdo al medio por el cual los datos
sern enviados, ya sea un medio de cables de cobre de par tren%ado, fibra ptica, un enlace
satelital, "ireless.
C$*$) !"% -o!"%o OSI
3.- PROTOCOLO ARP:
El protocolo ARP ;A!!(")) R")o%1&on P(o&o#o%< es un protocolo que opera en la capa 3
del modelo OSI. este protocolo es el encargado de establecer la comunicacin entre 3 o
mas maquinas dentro de la red.
)na maquina en la red, para que pueda comunicarse con otro dentro de la red, conociendo
su direccin IP primero debe conocer la direccin -AC de la maquina destino, para este
propsito se enva un paquete de tipo $(* +(o$!#$)& con la direccin 0&4 y la *' asociada
a la maquina con la que se quiere establecer la comunicacin.
El equipo con el que se quiere establecer la comunicacin mediante la *' solicitada deber
responder indicando cual es su respectiva direccin 0&4 para que la comunicacin entre
las 3 maquinas quede establecida. 'ara que quede claro todo lo que acabo de mencionar
pondr unos e$emplos de direcciones *' y direcciones 0&4 ficticias.
,OST A:
D("##4n IP: 563.527.5.58
D("##4n -AC: 8798893:9:c93396e.
,OST B:
D("##4n IP: 563.527.5.38
D("##4n -AC! 8698592:9:y99:c
4uando el host & quiera comunicarse con el host ;, deber hacer la operacin mencionada
anteriormente y el host ; le responder con una respuesta dndole su respectiva direccin
0&4 y as se establecer la comunicacin entre ambos hosts
Esta operacin no solamente se reali%a cuando 3 o mas maquinas en una red quieren
comunicarse, sino que tambin esta misma operacin debe reali%arse cuando uno o mas
hosts dentro de mi red LAN quieran conectarse con el ROUTER para tener salida a
*nternet, se debe seguir el mismo procedimiento como el mencionado anteriormente, bueno
es precisamente por lo que este tipo de ataque denominado 0ARP SPOOFING2 se
convierte en un ataque bastante efectivo contra la seguridad de nuestra red, a continuacin
voy a detallar de que trata este tipo de ataque mas a fondo.
4.- ARP SPOOFING:
Esta es una tcnica de suplantar la identidad de un dispositivo en una red informtica,
cuando mencionamos sobre la suplantacin de identidad de un dispositivo puede ser un
host dentro de mi red L&<, un s"itch, un router.
4.1 En="n"n$3"n&o ARP.- Lo que hace esta tcnica es tratar de vulnerar la red mediante
el protocolo &=', bsicamente se trata de hacer creer a una maquina dentro de mi red que
la direccin *' correspondiente a un host dentro de mi red, tiene asociada mi direccin
0&4, con esto podemos redireccionar las peticiones que har esa maquina hacia nuestro
host, para que se entienda mas claro todo esto pondr un e$emplo mas detallado de cmo se
reali%ara una peticin de un host hacia otro y como el host atacante manda hacia la
maquina que esta haciendo la peticin respuestas falsas, esto se conoce como ARP
RE>UEST. podemos hacernos pasar por otro host dentro de la misma red para enga>ar a
la maquina que esta haciendo la peticin y hacerle creer que nosotros somos la maquina
con la que quiere conectarse.




;ien, para entender me$or el grfico anterior voy a detallar todo el proceso de peticin de
de un host hacia otro, y como la maquina atacante lleva acabo el "n="n"n$3"n&o ARP.
,OST A:
D("##4n IP: 563.527.5.58
D("##4n -AC: 8798893:9:c93396e.
,OST B:
D("##4n IP: 563.527.5.38
D("##4n -AC! 8698592:9:y99:c
,OST ATACANTE:
D("##on IP: 563.527.5.8
D("##on -AC: 589559?197t9?29?@
PASO 1.- El host A&B hace una peticin tipo &=' =EC)E-#, hacia el host A;B,
dicindole mas o menos lo siguiente! A(ola soy el host 172.19?.1.10 y mi direccin 0&4
es 0?-00-2@-@#-22-7, responde host 172.19?.1.20B
PASO 2.- El host A;B escucha la peticin del host A&B y responde a este mensa$e de la
misma forma que el host A&B mando su mensa$e, diciendo A(ola host 172.19?.1.10 soy el
host 172.19?.1.20 y mi direccin 0&4 es 07-01-9@-@5-33-@#B
PASO 3.- El host A&B recibe la respuesta del host A;B, pero antes de que pueda actuali%ar
su tabla &=', ah es donde el host A&#&4&<#EB entra en accin.
PASO 4.- El host A&#&4&<#EB le dice al host A&B lo siguiente! A(ola soy la maquina
172.19?.1.20 y mi direccin 0&4 es 10-11-84-?&-89-8AB
4omo se ve detallado en los e$emplos anteriores, el host atacante enva una respuesta falsa
tipo ARP RE>UEST envenenando la tabla &=' del host A&B, de esta forma el atacante
puede reali%ar varias cosas hacindose pasar por otra maquina dentro de la red y dando
informacin falsa al host victima.
4.2 Snffn'.- El sniffing es una tcnica bsica que consiste en ver o espiar todo el trafico
que pasa por nuestra red, es una tcnica bastante conocida en nuestro medio por aquellos
que estn metidos en la seguridad informtica y el B$#An'. existen 3 tipos de sniffing los
cuales voy a explicar a continuacin:
P$))=" Snffn'.- Este tipo de sniffing es de modo pasivo, se puede llevar a cabo
en una red L&< que esta cableada mediante un ();, por e$emplo un atacante tiene
su maquina porttil y se conecta a la red y con el soft"are necesario para este ataque
solo tiene que instalar dicho soft"are conectado a la red L&< y a empe%ar el
sniffing.
A#&=" Snffn'.- Lleva este nombre porque es de tipo activo, lo que quiere decir
que este tipo de sniffing se da en redes que estn cableadas mediante un s"itch, el
atacante trata de envenenar la tabla &=' del s"itch y mediante una tcnica llamada
A0an *n #he 0iddleB, hace que el trafico de la red pase por medio de su maquina
antes de llegar hacia su destino.
8.- ENCENENA-IENTO DNS:
Esta tcnica es muy peligrosa dentro de una red, ya que mediante esta tcnica un atacante
se puede aprovechar de los usuarios de nuestra red y as comprometiendo la seguridad de la
misma. Lo que trata de aprovechar este ataque es el protocolo D<-, mediante el cual
consigue informacin valiosa.
El S)&"3$ *o( no3+(") !" Do3no ;DNS< es un protocolo que opera en el puerto 83
&#*. 1!*, cuando nosotros nos conectamos hacia *nternet mediante nuestro *-' E'roveedor
de *nternetF lo que estamos haciendo al conectarnos hacia el exterior es hacer una peticin
al servidor D<- de nuestro ISP, para que posteriormente este se conecte a los servidores
D<- superiores y as nosotros tengamos salida a *nternet, cada pagina /eb se encuentra
asociado a un nombre de dominio como por e$emplo DDD.'oo'%".#o3 este es un nombre
de dominio de segundo nivel, existen servidores D<- en todo el mundo, entre los
principales estn los servidores D<- ra%, y son los que mane$an en su base de datos todos
los nombres de dominio conocidos en la red.
Despus de esa breve explicacin sobre el D<-, pasamos a explicar ms a detalle sobre el
ataque DNS POISONING. La principal vulnerabilidad de este ataque esta en que un
atacante puede envenenar la tabla &=' de una victima dentro de la red y hacer que sus
peticiones hacia el servidor que provee *nternet o al router que hace la misma operacin, se
redireccione a su maquina y as poder enga>ar a la maquina vctima.
Este mtodo de intrusin es bastante efectivo frente a redes L&< ya que mediante este tipo
de ataques se pueden hacer muchas cosas como por e$emplo falsificacin de pginas /eb
;PB)Bn'<. ,btencin de cuentas bancarias, obtener )B"%% remota, subir &(o5$no) y =(1)
y hasta poner un Roo&A& dentro del sistema afectado, todo depende del grado de
vulnerabilidad que presente la maquina victima.
(asta aqu ha sido prcticamente puras definiciones, es importantes saber la parte terica de
este tipo de ataques, porque as un buen administrador de redes sabr el porque de este tipo
de ataques en caso de que los atacantes traten de vulnerar su red.
&hora veremos mas a detalle la parte de prctica haciendo lo que mencione anteriormente
con mquinas de prueba y para poder demostrar el alto riesgo de este tipo de ataques si no
se toman las medidas necesarias, veremos con imgenes reales de cmo se da este tipo de
ataques vulnerando una maquina dentro de la red L&< y de cmo afecta este tipo de
ataques a la maquina victima, pero tambin har mencin de cmo podemos evitar este tipo
de ataques y hacer nuestra red mas segura
9.- ENCENENANDO LA TABLA ARP:
;ueno a continuacin voy a poner en prctica todo lo que les mencione en la parte terica,
haremos la prueba con maquinas reales en una red L&<, a medida que valla demostrando
las diferentes tcnicas mostrare los resultados mediante imgenes.
'rimeramente necesitamos herramientas que nos permitan hacer este tipo de ataques,
podemos encontrar muchos en *nternet, las me$ores herramientas de este tipo son OPEN
SOURCE, lo que quiere decir que no debemos de pagar, ni obtener un serial, cdigo de
activacin, etc. 'ersonalmente prefiero traba$ar en plataforma L*<)G, porque a mi parecer
es la plataforma indicada para reali%ar este tipo de ataques, en este caso utili%are la
distribucin -ANDRICA ONE 2010 la cual nos ofrece una gran gama de herramientas y
paquetes de seguridad informtica y hac@ing.
9.1 ,"(($3"n&$) *$($ Wn!oD).- Entre las principales herramientas para /indo"s
tenemos los siguientes!
C$n $n! A+"%.
TB" D1!" Snff"(.
W(")B$(A.
I().
E&B"("$%.
9.2 ,"(($3"n&$) *$($ Ln1E.- En Linux tenemos muchas herramientas de este tipo de los
cuales solo mencionare los ms importantes seg+n mi punto de vista.
E&&"(#$*.
W(")B$(A.
D)nff.
S#$*5.
A(*S*oof.
De las herramientas mencionadas anteriormente prefiero E&&"(#$* 5 W(")B$(A, y en esta
oportunidad todas las pruebas que realice se harn sobre esta herramienta.
9.3 D1*%#$n!o %$ !("##4n -AC.- 'ara empe%ar vamos a duplicar nuestra direccin
0&4, para que la maquina victima crea que se esta conectando con la maquina real, ya sea
un servidor dentro de la red, un host, o un dispositivo como un router, o un s"itch.
En /indo"s podemos ver la tabla &=' de una maquina en concreto con el comando $(* F
$. como muestra la imagen siguiente!
4omo muestra la imagen tenemos hosts dentro de la red, La tabla &=' de esta maquina
esta asignado como tipo dinmico, lo cual quiere decir que las direcciones 0&4 pueden
cambiar constantemente y es ah precisamente donde un atacante aprovecha este grave
agu$ero de seguridad.
Hamos a envenenar esta tabla &=' de esta maquina, con Ettercap, entonces nos vamos a
nuestra maquina que esta corriendo con LINUG -ANDRICA 2010, con la herramienta
Ettercap abierta y lista para utili%arse.
La herramienta tiene el siguiente aspecto!




Lo que haremos a continuacin ser el "n="n"n$3"n&o ARP para hacerle creer a la
maquina victima que nosotros somos la maquina con la que quiere conectarse y mediante la
tcnica 3$n n &B" 3!!%" vamos a espiar el trfico que pasa por la red, podremos ver
nombres de usuarios y contrase>as que no estn encriptadas y as podremos conseguir
informacin confidencial de usuarios remotos y de nuestra propia red.
)na ve% que hayamos envenenado la tabla &=' de la maquina victima, y la maquina
victima haga una peticin de una pagina /eb al servidor dentro de nuestra red, ah es
donde nosotros podremos escuchar todo el trfico dentro de la red, con nuestra herramienta
ettercap esto se hara de la siguiente forma!
)na ve% que tengamos abierta la herramienta debemos de dirigirnos al men+ Snff y elegir
la primera opcin Unf"! Snffn', y en la ventana que nos aparece colocamos nuestra
interfa% de red, en mi caso la interfa% de red que tengo seria "&B0.
Despus de reali%ar la operacin anterior nos aparecer otra ventana con diferentes
opciones en esta nueva ventana nos dirigimos al men+ ,o)&) y le damos a la opcin S#$n
fo( ,o)&), esto para que la herramienta valla escaneando las maquinas que estn activas
dentro de la red L&<, una ve% que termine de escanear, nos dirigimos al mismo men+
,o)&) y esta ve% elegimos la opcin que dice ,o)&) L)& para que nos despliegue las
direcciones ip de las maquinas que estn activas.
'ara poder llevar acabo nuestro ob$etivo deberemos de elegir la direccin ip de la maquina
victima y la direccin ip del router de la red, esto para que podamos sniffear el trafico que
pasa por la red, para reali%ar esto, en la ventana que nos apareci elegimos la direccin ip
de la maquina victima haciendo doble clic sobre ella, despus hacemos doble clic sobre la
direccin ip del router, una ve% logrado todo esto, la herramienta ettercap debe quedar
como la siguiente imagen!
4omo se ve en la imagen anterior, la direccin ip de la maquina victima y la direccin ip
del router fueron agregados en la parte inferior de la herramienta, una ve% reali%ado esto,
nos dirigimos al men+ 0itm y elegimos la opcin -niff =emote 4onnections, finalmente
nos vamos al men+ -tart y le decimos -tart -niffing,.
=eali%ando todas las operaciones anterirmente mencionadas a herramienta estar reali%ando
el envenenamiento &=' y as podremos ver el trfico que pasa por la red L&< y capturar
pass"ords que no via$an encriptados y que estn en texto plano.
Despus de reali%ar esta operacin, la tabla &=' de la maquina victima tendr mas o menos
el siguiente aspecto!
'or ra%ones de seguridad he tapado las direcciones ip de la red L&<, pero eso no significa
que no se entienda lo que muestra la imagen.
4omo se muestra en la imagen anterior podemos darnos cuenta de una diferencia muy
grande, la cual tiene que ver con las direcciones *' y sus respectivas direcciones 0&4, las
direcciones 0&4 en este caso son las mismas para todos los hosts de la red, esa direccin
0&4 que se repite es la direccin 0&4 del atacante, este es el resultado del comando $(*
F$ despus de que el atacante haya envenenado la tabla &=' de la maquina victima, una
ve% finali%ado esta operacin el atacante podr ver todo el trafico que pasa de la maquina
vctima hacia el servidor, este tipo de ataque se conoce como anteriormente mencion ARP
POISONING o envenenamiento &='.
9.4 E)*$n!o %$ R"! L$n.- Lo que haremos ahora ser conseguir informacin valiosa de
la red L&<, ahora estar traba$ando del lado de la maquina atacante, una ve% que el
atacante haya envenenado la maquina de la victima, el atacante podr encontrar
informacin importante escuchando el trafico en la red, los protocolos y servicios
vulnerables frente a este tipo de ataques son! FTP. ,TTP. TELNET. TFTP. N"&Bo).
S-B. y muchos otros mas.
&hora la victima visita una pgina /eb en concreto, en este caso B&&*:66DDD
.!("#&o(oD$("H.#o3 una conocidsima pgina donde puedes descargar de todo un poco,
desde m+sica, videos, manuales, soft"are, etc.
La victima tiene una cuenta en esta pgina para que pueda descargar de todo, entonces al
momento que la victima se conecta mediante su nombre de usuario y contrase>a, la
maquina del atacante tendr algo parecido a la siguiente imagen.

'ues como podemos apreciar en la imagen anterior, el atacante ha conseguido el nombre de
usuario y pass de la victima, con esto el atacante podr ingresar a su cuenta de usuario y
modificar el *$))Do(!, y hacer otras cosas ms que al atacante se le ocurra. Hamos a
anali%ar porque sucede esto, la respuesta es simple la pagina /eb que la vctima visit no
mane$a encriptacin mediante cifrado de contrase>as, esto quiere decir que la informacin
via$a a travs de la red en texto plano, sin ning+n tipo de encriptacin, lo que para el
atacante resulta muy beneficioso, porque existen paginas /eb que cifran los datos de sus
usuarios al momento de que estos escriben su %o'n 5 *$))Do(!. ahora supongamos de que
la "eb que la victima estaba visitando era la pagina /eb de un banco y que ste estaba
visitando para ver sus cuentas ingresando su numero de tar$eta de crdito, numero de pin,
nombre de usuario, y que la informacin ingresada por parte de la vctima no fuera cifrada,
esto ya seria peligroso, porque mediante este ataque se puede conseguir informacin
valiosa y que si no tomamos las medidas necesarias podemos lamentarlo por el resto de
nuestra vida.
9.8 ,$#"n!o "n="n"n$3"n&o !" DNS.- 'ues como vimos en el anterior punto, el
atacante pudo ver el nombre y pass"ord de la victima, ya que usamos la tcnica de
envenenamiento &=' seguido de una tcnica que es conocida como -$n n &B" 3!!%" u
0Bo3+(" "n "% 3"!o2 y lo que haca era precisamente eso, el de poder envenenar la tabla
&=' de la maquina victima con el ob$etivo de espiar el trfico que pasa por la red L&<.
&hora lo que haremos ser hacernos pasar por el servidor de salida a *nternet con una
tcnica conocida como DNS POISONING o 0"n="n"n$3"n&o !" DNS2. en este caso la
maquina victima har una peticin de una pagina /eb hacia el servidor y el atacante
redireccionar la pgina que la victima solicite hacia otro destino, como por e$emplo otra
pagina /eb, un servidor remoto, o hasta su propia maquina con ob$etivos de intrusin
remota, esto lo haremos a continuacin con imgenes demostrativas como en los anteriores
e$emplos.
'ara este ob$etivo se debe configurar la herramienta ettercap, para llevar a cabo esto
debemos de editar el archivo "&&"(.!n) que se encuentra en la ruta
61)(6)B$("6"&&"(#$*6"&&"(.!n)
'ara poder editar este archivo nos usaremos un editor de texto plano, puedes usar el que
mas te guste, en sistemas GNU6LINUG tenemos varios editores tales como el '"!&.
AD(&". =. n$no. "&#.
'ersonalmente prefiero gedit, y vamos a editar este archivo con derechos de root, de la
siguiente forma!
S1!o '"!& 61)(6)B$("6"&&"(#$*6"&&"(.!n)
)na ve% puesto en la shell la anterior instruccin nos aparecer el archivo etter.dns, lo que
debemos hacer a continuacin es buscar la siguiente parte del archivo que se muestra en la
imagen siguiente!

Debemos de reempla%ar las direcciones *' para que el nombre de dominio 0icrosoft.com y
todos los subdominios que posee el mismo redireccione a la direccin ip que nosotros le
digamos, en la imagen anterior las direcciones ip mostradas pertenecen a la "eb del
directorio "are%.
#ambin podramos cambiar los nombres de dominio que estn en la imagen anterior,
como por e$emplo (otmail.
Cuedara mas o menos as!
,o&3$%.#o3 A @4.84.14@.200
I.Bo&3$%.#o3 A @4.84.14@.200
DDD.Bo&3$%.#o3 PTR @4.84.14@.200
Esto mostrara de cmo resultado de que el nombre de dominio ,o&3$%.#o3
redireccionaria a la IP @4.84.14@.200.
)na ve% de haber modificado el archivo etter.dns, guardamos los cambios y procedemos a
hacer el envenenamiento D<-
'ara reali%ar el envenenamiento D<-, tipeamos en la shell con derechos de root, el
siguiente comando!
"&&"(#$* -T -J - "&B0 -P !n)K)*oof -- $(* 66 66
)na ve% tipeado el comando anterior, veremos como el ettercap se pone en marcha y
empie%a a llevar a cabo el envenenamiento D<-, cuando la victima visite la pagina de
0icrosoft lo que le mostrara en su navegador ser la /eb del directorio /are%, en la
siguiente imagen se procede a poner en la )=L la direccin de 0icrosoft.
4omo podemos observar en la imagen anterior, la victima tiene acceso a *nternet, y puede
ver las pginas /eb que desea, con la excepcin de que cuando la maquina victima quiere
ver la pagina de 0icrosoft, este no podr ya que cada ve% que intente conectarse a la /eb
su navegador le redireccionar a la /eb del directorio /are% y as no podr ingresar nunca
a la /eb original de 0icrosoft hasta que el atacante detenga el envenenamiento D<-.
Esta tcnica al igual que la anterior es bastante peligrosa porque mediante esto un atacante
puede falsificar la /eb de un banco, ,o&3$%. G3$%. F$#"+ooA. Y$Boo. "&#. 0ediante
este tipo de ataques un atacante dentro de nuestra red L&<, puede conseguir informacin
valiosa, incluso podra vulnerar un sistema mediante esta tcnica, es decir consiguiendo una
intrusin dentro de la maquina victima, para luego comprometer a toda nuestra red.
La imagen siguiente muestra de cmo este ataque se lleva a acabo con resultados esperados
por parte del atacante!

'ues bien, como se ve en la imagen anterior la /eb de 0icrosoft redirecciona hacia la /eb
del Directorio /are%, con esto el atacante logr vulnerar a la maquina victima, y hasta aqu
terminara la parte del atacante.
@.- PROTEGIENDO NUESTRA RED:
(a llegado el momento en que tenemos que saber como protegernos ante este tipo de
ataques, en la actualidad existen varios mtodos de prevencin pero, ninguno es 588 I
efectivo lo cual nos da una idea de que siempre debemos estar alerta ante este tipo de
ataques y no confiarnos de las herramientas de proteccin que podamos emplear dentro de
nuestra red L&<.
@.1 In)&$%$#4n !" 1n Snff"(.- )no de los mtodos que los buenos administradores de
redes usan es el uso de un sniffer, la herramienta ettercap que use para hacer las pruebas es
un tipo de snnifer, tambin tenemos otros muchos de los cuales uno de los mas importantes
es WIRES,ARK. una herramienta bastante robusta multiplataforma ya que puede ser
instalado en tanto en /indo"s como en Linux, lo que lo hace una herramienta bastante
confiable a la hora de poder ver el trafico que pasa por nuestra red, lo que hace bsicamente
esta herramienta es poder escuchar el trfico en la red y monitorear lo que esta pasando
dentro de de la misma. 'odremos ver si la tabla &=' de alguna maquina de nuestra red esta
cambiando, o es diferente de lo que sola ser antes, y poder identificar donde se produce el
ataque.
@.2 In)&$%$#4n !" IDS E IPS.- Estas herramientas operan de manera similar a un sniffer
con la diferencia de que estos estn especiali%ados en la parte de seguridad, por as decirlo
un IDS ;))&"3$ !" !"&"##4n !" n&(1)o)< monitorea el trfico de la red mediante una
serie de reglas que el administrador de la red tiene que configurar, y los IPS ;))&"3$ !"
*("="n#4n !" n&(1)o)< lo que hace es decirnos si hay un intruso o atacante dentro de
nuestra red mediante una lista que el administrador tambin tiene que configurar, la
diferencia radica en que los IDS vigilan la red, y los IPS detienen los ataques en la red.
@.3 In'(")$( "n&($!$) E)&L&#$) "n %$ &$+%$ ARP.- Este mtodo de prevencin es para
muchos administradores de red la me$or de todas, y tambin personalmente opino lo
mismo, porque si ingresamos entradas estticas dentro de nuestra red, el atacante no podr
modificar la tabla &=' de las maquinas de la red, y mucho menos sniffear el trafico de la
red L&<, esto se puede hacer manualmente en sistemas /indo"s y Linux mediante la
consola D,- Epara /indo"sF, y la consola ;&-( Een LinuxF, como la mayora de los
administradores tienen en su red maquinas corriendo ba$o /indo"s me puse a hacer un
cdigo en +$&B ;$(#B=o) "M"#1&$+%") *o( %o&")< que protege nuestras maquinas en la red,
solo tenemos que copiar el cdigo dentro de un bloc de notas, y guardarlo con extensin
.bat y despus e$ecutarlo como cualquier programa, y el archivo har el resto del traba$o por
nosotros.
N"#Bo off
$(* -) D("##onKIP D("##onK-AC !"% ,o)&
("' $!! BA"5K%o#$%K3$#Bn"O)of&D$("O3#(o)of&ODn!oD)O#1(("n&="()onO(1n6=
A43%.+$&6& ("'K)H 6! C:ODn!oD)O)5)&"332 6f
"E&
Esto lo tenemos que hacer en cada mquina que tengamos en nuestra red, bsicamente lo
que hace este cdigo es agregar entradas estticas a la red y mediante una entrada al
registro hace que inicie con el propio sistema ,perativo, en la parte donde dice Adireccin
*'B y ADireccion 0&4B es donde debemos de poner la lista de direcciones *' y direcciones
0&4 que tenemos registradas dentro de nuestra tabla &='.
)na ve% que hayamos e$ecutado los archivos bat creados por nosotros tendremos una
imagen como la siguiente cuando pongamos en la consola el comando $(* F$



& simple vista nos podemos dar cuenta de una cosa, y es que las entradas en la columna
T*o aparecen con el nombre de 0")&L&#o2 con lo cual el atacante no podr envenenar
nuestra tabla &=' y mucho menos espiar nuestra red L&<.
?.- CONCLUSIONES:
En mi opinin personal pienso de que este ataque es uno de los ms conocidos dentro del
mundo de la seguridad informtica pero lamentablemente muchos administradores de redes
no lo toman en cuenta, muchos de ellos piensan de que sus sistemas estn protegidos por el
simple hecho de que solo instalan un antivirus en cada maquina de su red, incluyendo su
servidor, debo decirle que estn muy equivocados, la seguridad informtica va mucho mas
de la instalacin de un antivirus y olvidarse de los posibles ataques a la red, existen muchos
mtodos de intrusin de redes y para evitar todo ese tipo de ataques un buen administrador
debe estar preparado en todo momento de las posibles intrusiones en la red.
,tro punto que debemos de tener en cuenta es de que en lo posible no usar ,UBS, en el
cableado de nuestra red, estos deben ser reempla%ados por SWITC,ES. porque ante todo
los ,UBS solo interconectan los hosts en nuestra red y manda el paquete a todos los hosts
que estn conectados, en cambio un SWITC, conmuta nuestra red y lo hace mas segura
enviando solo el paquete hacia su destino. En lo posible usar un servidor 'roxy, mucho
me$or si el servidor corre en plataforma LINUG, montando un servidor S>UID en Linux
hay una probabilidad de que el atacante no logre un ataque 588 I, y solo logre envenenar
las tablas &=', sin hacer envenenamiento de DNS.
7.- AGRADECI-IENTOS Y BIBLIOGRAFIA:
'ara terminar quiero agradecer a las grandes comunidades de SEGURIDAD
INFOR-ATICA Y ,ACKING de los cuales he aprendido mucho, entre las que yo
considero importantes estn!
B&&*:66fo(o.nf"(noB$#A"(.#o3
B&&*:66DDD.B$#AE#($#A.")
B&&*:66#o31n!$!.!($'onM$(.o('
B&&*:66DDD.+$#A&($#A-%n1E.o('
B&&*:66B3.B$#A%$+.o('.+o6
B&&*:66$)B-%$+).o('
Las pginas /eb citadas anteriormente son las pginas donde yo he aprendido mucho y
sigo aprendiendo, por otra parte el 78 I del presente traba$o lo escrib personalmente con
un poco de ayuda de las /ebs que mencione anteriormente.
'or +ltimo les doy una sugerencia de pasar por mi blog que es el siguiente!
B&&*:66A43%-B$#An'5)"'1(!$!nfo(3$&#$.+%o')*o&.#o36