ATAQUES DE FALSIFICACIN DE PAQUETES ARP MEDIANTE ETTERCAP

Ing. Vincenzo Mendillo

Septiembre 2013
Objetivo: Familiarizarse con la tcnica de ARP spoofing utilizada para realizar ataques de hombre en el medio (MITM) en redes de
rea local cableadas (LAN) o inalmbricas (WLAN) mediante la herramienta Ettercap, capturando as contraseas y otras credenciales
de autenticacin utilizadas en numerosos protocolos.
Requisitos: Disponer de 2 PCs y un switch o router inalmbrico con acceso a Internet. Las PCs pueden tener conexin Ethernet
(cableada) o inalmbrica y operar bajo Windows o Linux. Si usted dispone de conexin Ethernet y prefiere usar Windows, entonces
quizs le interese ms efectuar la prctica ms completa: Ataques de falsificacin de paquetes ARP mediante Cain.
Plataforma: Windows/Linux
Prcticas relacionadas: Captura y anlisis de trfico. Ataque a la autenticacin en telefona IP. Interceptacin de llamadas en telefona
y VoIP. Certificados digitales e infraestructura de clave pblica (PKI).

Seccin A: Introduccin
Curiosidad, espionaje, fraude y venganza pueden ser algunas de las razones por las que desde dentro de la propia red una persona
monte un ataque informtico. Las estadsticas confirman que un alto porcentaje de los ataques no provienen de afuera, sino desde
dentro de la propia red. Los administradores pasan bastante tiempo impidiendo estos ataques internos ya que proteger la red desde
dentro es mucho ms difcil que protegerla frente a ataques externos. Una de las tcnicas ms formidables de ataques internos es la que
se conoce como ARP spoofing, que coloca al atacante interno en una posicin en la que puede espiar y manipular el trfico en red
local.
Considere este escenario: Usted se encuentra en su oficina, un cybercaf o atendiendo un curso de informtica y necesita efectuar
una transaccin bancaria urgente va Internet. En primer lugar se ocupa de verificar que no haya ningn keylogger en la PC que est
usando (cmo?). Luego, confiando en que la comunicacin va encriptada con HTTPS, se conecta a la pgina Web del banco. Si su
navegador es Internet Explorer 7 o superior, le aparecer una advertencia como la siguiente sobre la validez del certificado digital de
seguridad:

Pensando en un ataque de phishing, usted se cerciora que la pgina efectivamente corresponde a su banco, as que decide hacer caso
omiso a la advertencia, ya que algo parecido le haba pasado con la pgina de CADIVI. Entonces entra al banco y all introduce sus
datos personales, los cuales son interceptados por un hombre en el medio (MITM) para as causarle un cuantioso fraude. Usted acaba
de ser vctima de un ataque de ARP spoofing.
Si quiere protegerse de este tipo de ataque, primero debe entender algunos aspectos fundamentales de la comunicacin en redes de
rea local (LAN) y en redes locales inalmbricas (WLAN, tambin conocidas como Wi-Fi). Es bien conocido que los datos en una
LAN cableada se enva a travs de tramas Ethernet que contienen en la cabecera las direcciones de origen y destino.

-2-

Las tramas que se utilizan en el estndar 802.11 para WLAN son ms complejas, ya que tienen hasta 4 direcciones.

Trama 802.11

Esas direcciones son valores de 48 bits y se expresan usualmente en forma de 6 nmeros hexadecimales separados por dos puntos o un
guin, por ejemplo 00:90:7F:12:DE:7F o 00-90-7F-12-DE-7F. Tambin son conocidas como direcciones fsicas o direcciones MAC,
donde MAC significa Medium Access Control.
La direccin MAC es nica para cada tarjeta de interfaz de red (NIC, Network Interface Card) y es grabada por el propio
fabricante. El IEEE asigna a cada fabricante de tarjetas un cdigo especial del tres octetos llamado OUI (Organizationally Unique
Identifier). La primera mitad (tres octetos) de la direccin MAC contiene este cdigo del fabricante. Por ejemplo, para una NIC con
direccin 00-90-7F-12-DE-7F, los primeros 3 octetos 00-90-7F significan que fue fabricada por WatchGuard. La segunda mitad de una
direccin MAC distingue una NIC de otra del mismo fabricante, habiendo diecisis millones de valores posibles.
Hoy da en las organizaciones modernas se utilizan LAN conmutadas por medio de switches para as mejorar el desempeo y la
seguridad, ya que el trfico que llega a un puerto del switch es transmitido slo al puerto donde est la mquina de destino.
Unicamente el trfico tipo broadcast (difusin) es enviado a todos los puertos. Para poder hacerlo, el switch consulta una tabla interna
que contiene las direcciones MAC de cada mquina y su respectivo puerto. Esta tabla inicialmente est vaca, por lo que el switch
enva el trfico a todos los puertos. Pero a medida que pasa el tiempo, el switch aprende dnde se encuentra cada mquina y va
rellenando la tabla.

As que las mquinas A y B se comunican privadamente entre s a travs del switch, pero la mquina C no puede espiar el trfico entre
A y B, ya que ese trfico no es enviado al puerto donde est conectada la mquina C. Sin embargo, manipulando paquetes ARP (como
se explicar luego), se puede montar desde la mquina C un ataque de hombre en el medio (MITM: Man In The Middle) para as
espiar o hasta realizar actividades fraudulentas mediante certificados digitales falsos. Tambin se pueden realizar ataques de negacin
de servicio (DoS: Denial of Service). Estos tipos de ataque hoy da son relativamente fciles de realizar gracias a herramientas
gratuitas disponibles en Internet y que no requieren de muchos conocimientos para utilizarlas.

-3-

Los ataques de manipulacin de paquetes ARP tradicionalmente se llevaban a cabo en LANs cableadas y es relativamente fcil ubicar
a la mquina responsable en una oficina, pero hoy hay una proliferacin de redes inalmbricas WLAN donde este tipo de ataque
resulta ms atractivo y ms difcil de ubicar, ya que el atacante puede ser un extrao en el edificio de enfrente o en la calle.
Qu es ARP?
Cuando dos mquinas A y B dentro de una red local (cableada o inalmbrica) requieren compartir informacin, se presenta el
problema de que ambas mquinas cuentan con una direccin IP (ej. 192.168.0.16) as como una direccin fsica (ej.
00:90:7F:12:DE:7F), pero dicha transmisin de informacin solo la pueden realizar mediante tramas Ethernet o 802.11 a travs de la
direccin fsica.

El protocolo de resolucin de direcciones (ARP: Address Resolution Protocol) resuelve el problema de mapeo de direcciones IP a
direcciones fsicas y est descrito en la RFC 826. La idea es simple: si una mquina A con direccin IP = 192.168.0.16 necesita saber
la direccin fsica de una mquina B en la misma subred y con direccin IP = 192.168.0.45, necesita primero averiguar la direccin

-4MAC de esa mquina B para luego enviarle los datos dentro de una trama Ethernet (o 802.11). Para averiguar la direccin MAC de B,
A entonces enva a toda la red local por multidifusin (broadcast) un paquete especial (ARP Request) que solicita a la mquina B que
responda con su direccin MAC.
Desde: A
192.168.0.16

Hacia: Todos
(broadcast)

Peticin ARP

00:90:7F:12:DE:7F FF:FF:FF:FF:FF:FF Quin es 192.168.0.45 ?

Dgalo a 192.168.0.16

Al recibir ARP Request, slo la mquina involucrada deber responder con ARP Response, devolviendo su direccin MAC.

Desde: B

Hacia: A

Respuesta ARP

00:90:7F:12:DE:7F

00:A0:24:30:4C:23

Yo soy 192.168.0.45

Una vez recibida la respuesta, A puede enviar datos a B directamente, pues ya conoce su direccin MAC. Tmese en cuenta que muy a
menudo B no es otra cosa que la puerta de enlace (gateway) que comunica con Internet. Su direccin IP tpica termina 1 (ej.
192.168.0.1).
Debido a que la difusin consume ancho de banda y recursos del CPU, ya que todos los receptores deben analizar el paquete ARP
Request, suele evitarse su uso lo ms posible. Una de las formas de evitarlo es manteniendo en cada mquina una tabla ARP que
relaciona direcciones IP con direcciones MAC. Si la direccin solicitada ya se encuentra en esa tabla, no hay problema, puesto que la
mquina que origina el mensaje ya dispone de la direccin MAC de la mquina destino. Pero si la direccin buscada no est en la
tabla, se enva un ARP Request a toda la red. Adems, como dentro del ARP Request se encuentra la direccin IP y la direccin fsica
del remitente, todas las mquinas activas pueden actualizar su tabla con los nuevos datos.

Seccin B: Familiarizacin con ARP (opcional)

1. Para ver la tabla ARP de su computadora, escriba arp -a en una ventana de comandos. Escriba arp -? para conocer las distintas
opciones. Si no se muestra nada, la razn es que la tabla ARP est vaca. En efecto, la tabla ARP se guarda en una memoria cache, lo

-5cual evita la necesidad de enviar una solicitud ARP cada vez que se enva una trama. Los valores en la tabla se van borrando con el
tiempo, a fin de mantenerlos actualizados.
2. Haga ping a un sitio en Internet (ej. 200.44.32.12) y a una mquina local (ej. 192.168.1.101). Luego escriba arp -a para ver de
nuevo la tabla. Debera obtener algo como lo siguiente:

3. Borre la tabla mediante arp -d * y escriba arp -a continuamente. Con un cronmetro tome nota del tiempo en que esos valores se
borran. En el caso de Linux un dado valor en la tabla persiste durante 30 segundos. En el caso de switches Cisco es usualmente 14400
segundos. En Windows persiste durante 2 minutos y con incrementos de 2 minutos, hasta un mximo de 10 minutos, luego de lo cual
ese valor se borra y debe obtenerse de nuevo a travs de un ARP Request.
4. Nota: Si solamente se borr el valor de la mquina local y no el valor de la puerta de enlace, es probable que alguna aplicacin (ej.
Skype, Facebook, Twitter) est usando Internet y oblig a un ARP Request.

5. Usted podra eventualmente modificar los valores predeterminados de 2 y 10 minutos en Windows, aadiendo los parmetros
ArpCacheMinReferencedLife y ArpCacheLife en el registro de Windows bajo HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters.
6. Para evitar los ataques de falsificacin de paquetes ARP que se explicarn ms adelante, en Windows se pueden agregar valores
estticos, permanentes, mediante arp -s. Por ejemplo:
arp -s 192.168.1.2 00-11-22-33-44-56

7. Tome en cuenta que en Windows los valores estticos se borran al ejecutar arp d *, al reinicializar la mquina o al reinicializar el
adaptador de red mediante Reparar.
8. Para conocer la estructura de los paquetes ARP, utilice un analizador de protocolos como Commview (Windows) o Wireshark
(Windows/Linux). Si est usando un adaptador inalmbrico, igualmente utilice CommView o Wireshark; adems deber previamente
conectarse a un punto de acceso.
9. Buscar paquetes ARP cuando hay muchos datos es una tarea pesada y es ms prctico usar filtros. Para tal fin si est usando
Commview, en la ventana principal abra la pestaa de Reglas, luego marque Habilitar Reglas de Protocolo Ethernet y all seleccione
ARP.

-610. Borre la tabla ARP mediante arp -d * y haga ping a una mquina local o a un sitio en Internet mientras captura el trfico. En la
ventana del analizador de protocolos deberan aparecer los paquetes ARP Request y ARP Response.

11. Vea el contenido de los 2 tipos de de paquetes, que en la figura siguiente se muestran uno al lado del otro.

12. Analice y trate de entender los distintos campos, tomando en cuenta que en Ethernet un paquete ARP contiene 28 octetos con el
siguiente formato:

HARDWARE ADDRESS TYPE contains 1 for Ethernet hardware.

PROTOCOL ADDRESS TYPE contains 0800 (hex) for IP.
HADDR LEN contains 6 for Ethernet hardware (48 bytes).
PADDR LEN contains 4 for IP (28 bytes).
OPERATION is either 1 (request) or 2 (response).
SENDER HADDR is the sender's hardware address.
SENDER PADDR is the sender's protocol address.
TARGET HADDR is the target's hardware address (all zeros in a request and the initial computer's address in a response).
TARGET PADDR is the target's protocol address.

13. Sender es la mquina que enva el paquete y Target es la mquina de destino. En el caso de un ARP Request, la direccin fsica
(HADDR) de Target por supuesto no se conoce todava y se rellena con 0. Adems la direccin de destino (Destination Address) en la
trama Ethernet es la de broadcast y se rellena con FF:FF:FF:FF.FF:FF, es decir todos 1.

-714. Una trama Ethernet por norma debe ser de al menos 64 bytes y el campo de informacin de al menos 46 bytes. El campo FCS de
control de errores de 4 bytes no lo incluyen en la cuenta algunos sniffers como CommView y Wireshark, por lo que indican un tamao
de 4 bytes ms pequeo (60 bytes). Adems como el paquete ARP va en el campo de informacin y es de apenas 28 bytes, se rellena
con 18 bytes (padding o trailer). Algunos sniffers, para mejorar su desempeo cuando hay mucho trfico y no perder datos, descartan
ese relleno y no lo incluyen en la cuenta, por lo que indican un tamao de 42 bytes.
15. En una red local, cuando una mquina se enciende y tiene asignada una direccin IP, suele enviar un ARP Request poniendo en
Target IP address la misma direccin de Sender IP address, es decir de la propia mquina. Esto es con el fin de anunciarse en la red y
detectar direcciones IP duplicadas. A este mecanismo se la llama Gratuitous ARP. Si no recibe un ARP Response, la mquina asume
que su direccin IP es nica en esa LAN, pero si hay una respuesta, significa un conflicto de direcciones IP y Windows alerta con un
mensaje de direccin duplicada. Por supuesto que este conflicto no se presenta si se usa DHCP.

17. Para ver paquetes ARP Request gratuitos, desde una ventana de comandos de Windows, ejecute ipconfig /release seguido de
ipconfig /renew y vea los paquetes ARP con el analizador de protocolos. Note que Windows enva no uno, sino tres ARP gratuitos para
mayor garanta de no duplicidad.

18. Si usted ha realizado y entendido las experiencias anteriores sobre el funcionamiento de ARP, quizs se habr dado cuenta el
protocolo posee ciertas vulnerabilidades de las cuales se pueden aprovechar personas inescrupulosas con suficientes conocimientos.
Por ejemplo, un atacante (hombre en el medio) desde la mquina C podra enviar paquetes ARP Request falsos a la mquina A
hacindose pasar por el router B:
Quin es 192.168.1.100? Dgalo a 192.168.1.1, cuya direccin MAC es 00-11-22-33-44-57.

-8Tambin el atacante se puede aprovechar del hecho de que una mquina por lo general acepta ARP Response incluso si no ha enviado
un ARP Request, con lo que actualiza su tabla ARP con los nuevos datos recibidos, los cuales pueden ser alterados a propsito. Por
ejemplo, un atacante desde la mquina C podra enviar paquetes ARP Response para que el router B crea que es la mquina A:
Yo soy 192.168.1.100. Mi direccin MAC es: 00-11-22-33-44-58.
Como esa direccin MAC es falsa e inexistente, el router que tendra en su tabla ARP una direccin MAC errada donde enviar datos y
estos nunca llegaran a la mquina A. Se trata entonces de un ataque de negacin de servicio (DoS).
Para que el ataque sea sostenido, los paquetes ARP falsos deben ser enviados peridicamente, es decir almenos 2 minutos en
Windows y 30 segundos en Linux. Note que el switch no se entera de esa situacin, ya que los encabezados Ethernet llevan las
direcciones MAC correctas de origen y destino.

El atacante tambin podra falsificar esas direcciones en los encabezados Ethernet de los paquetes ARP que enva, para as dificultar el
ser detectado en la red. Pero en este caso el switch aadira otra entrada a su tabla, y entonces apareceran 2 mquinas conectadas al
puerto 3. Muchos switches (como Cisco Catalyst) poseen una funcin llamada Port Security que no permite ms de una estacin en
cada puerto y adems puede bloquear temporalmente o permanentemente un puerto si cambia la direccin MAC de la mquina all
conectada.
En la siguiente seccin se experimentar con estos tipos de ataque que son conocidos como ARP injection, ARP poisoning o ARP
spoofing, donde poisoning significa envenenamiento y spoofing significa falsificacin o suplantacin. En el campo de seguridad en
redes, spoofing hace referencia al uso de tcnicas de suplantacin de identidad generalmente con intenciones deshonestas. Existen
diferentes tipos de spoofing dependiendo de la tcnica, como IP spoofing, DNS spoofing, Web spoofing, e-mail spoofing, etc. ARP
poisoning es un tipo especfico de ARP spoofing cuyo objetivo es envenenar las tablas ARP de otras mquinas.
En Internet se consigue una larga serie de herramientas bajo Windows o Linux para realizar ataques como los antes mencionados.
Los administradores podran utilizar estas herramientas para probar sus propias redes. Son bastante tiles para demostrar la severidad
de los esos ataques ARP. El problema de seguridad real, por supuesto, no es el hecho de que estas herramientas existan, ya que ARP es
relativamente inseguro. Algunas de ellas son: Arp-sk, Dsniff, Arpoison, Arpinject, Nemesis, Parasite, Ettercap, Cain & Abel.
En la carpeta Contraseas\ARP spoofing del DVD hay informacin adicional sobre ARP, as como unos videos en Flash
ilustrativos de ARP poisoning.

Seccin C: Captura de contraseas en red con Ettercap

Para ilustrar la modalidad del ataque ARP spoofing se va a utilizar con Ettercap, el cual es un potente programa disponible para
Windows y Linux con una interfaz basada en texto, semigrfica (ncurses) o grfica (GTK). Es obra de dos hackers italianos: Alberto
Ornaghi (AloR) y Marco Valleri (NaGA). Trabaja como sniffer/interceptor/logger para redes LAN conmutadas e inalmbricas,
efectuando la decodificacin (diseccin) activa y pasiva de muchos protocolos (incluso cifrados). Tome en cuenta que Ettercap no
acta como un sniffer completo, sino como un sniffer con filtros y de esta manera logra extraer las credenciales de autenticacin de
numerosos protocolos. Sus caractersticas ms destacadas son las siguientes:
Recolector de contraseas de autenticacin
Killer de conexiones establecidas.
Escaner de LAN: hosts, puertos abiertos, servicios...
Inyeccin de caracteres en una conexin establecida emulando comandos o respuestas mientras la conexin est activa.
Ataque MITM contra conexiones supuestamente seguras del tipo SSH, HTTPS y PPTP
Filtrado y sustitucin de paquetes.
OS fingerprint, es decir, deteccin del sistema operativo remoto.
Soporte para plug-ins.
1. Consulte la documentacin sobre Ettercap en la carpeta Contraseas\Ettercap. Tambin puede buscar videos en Internet sobre Cain.
Algunos interesantes son los siguientes:
http://www.youtube.com/watch?v=hmXJXCiMoCU
http://blip.tv/file/796538

-92. Decida si va a trabajar bajo Windows o Linux. Si prefiere trabajar bajo Windows, tome en cuenta que el funcionamiento de Ettercap
no es muy estable. Adems si utiliza una conexin inalmbrica, Ettercap no funciona bajo Windows Vista.
3. Si va a trabajar con Ubuntu, Ettercap debera funcionar bien tanto con conexin Ethernet (cableada) como con conexin
inalmbrica. Entonces descargue e instale ettercap-gtk junto con los dems paquetes y libreras requeridos usando el comando:
$ sudo sudo apt-get install ettercap-gtk
Una vez instalado Ettercap, para correrlo con la interfaz grfica GTK, ejecute desde un terminal:
$ sudo ettercap -G
4. Si en cambio va a trabajar con Kali Linux (el antiguo BackTrack), Etttercap se encuentra ya preinstalado y debera funcionar bien
tanto con conexin Ethernet (cableada) como con conexin inalmbrica. Desde un terminal ejecute el comando ifconfig, el cual
muestra la lista de las interfaces activas, as como sus parametros de configuracin. Luego ejecute ifconfig -a, el cual muestra la lista
de todas las interfaces. La interfaz inalmbrica est desactivada por razones de seguridad y si la va a usar, deber activarla (como root)
mediante:
$ sudo ifconfig interfaz up
reemplazando interfaz por el nombre de la interfaz apropiada (ej. ath0).
Para correr Ettercap en Kali Linux o BackTrack, ejecute desde un terminal:
# ettercap -G
5. Si prefiere usar Ettercap bajo Windows, el instalador se encuentra en la carpeta Contraseas\Ettercap del DVD o descargue la
ltima versin de Ettercap-NG para Windows desde http://ettercap.sourceforge.net. Para correrlo, vaya a Inicio | Programas | Ettercap
NG | ettercap. Quizs reciba el error no se encontr packet.dll. En tal caso instale WinPcap que se encuentra en la carpeta Captura
del DVD.
6. Ya sea bajo Linux o Windows, Ettercap posee numerosas opciones de inicio, descritas en el manual Ettercap.pdf eque se encuentra
en la carpeta Contraseas/Ettercap del DVD. Tambin se pueden listar mediante ettercap --help.
7. Una vez iniciado Ettercap en el modo grfico, se mostrar la siguiente interfaz:

8. En el men principal vaya a Options y active el modo promiscuo, el cual realmente es til slo si usted est conectado a un hub, en
vez de un switch. Pero si est usando una red inalmbrica, posiblemente deba desactivar el modo promiscuo y adems conectarse a un
punto de acceso.

-109. En el men principal seleccione Sniff y all podr escoger entre el modo Unified sniffing o Bridged sniffing. Seleccione el primer
modo, que requiere un solo adaptador de red. El segundo modo es ms sofisticado y sigiloso, pero requiere 2 adaptadores de red.

10. Ahora debe seleccionar la interfaz de red (por lo general Ethernet, pero tambin podra ser la interfaz serial del modem o la interfaz
inalmbrica, de haberlas).

11. A partir de ahora tiene a disposicin un men para llevar a cabo distintas acciones y ver los resultados.

12. Para empezar, haga un escaneo de las mquinas en la red local, mediante Hosts | Scan for hosts.

13. El nmero de direcciones escaneadas es 255 si la mscara de red es 255.255.255.0 (clase C), pero es de 65535 si es 255.255.0.0
(clase B), lo cual lleva mucho ms tiempo. Por ejemplo, en el caso de ABA de CANTV, la mscara es 255.255.248.0, que corresponde
a 2048 direcciones.
14. Se puede escanear una gama de direcciones especficas iniciando Ettercap con una mscara distinta. En tal caso cierre y reinicie el
programa. En Options | Set netmask coloque la nueva mscara, por ejemplo 255.255.255.128.
15. Una vez que termine el barrido, seleccione Hosts | Hosts list para ver las mquinas detectadas (usualmente PCs, puerta de enlace y
routers).

-11-

16. En ciertos casos su propia mquina aparece en la lista. En Windows puede averiguar su direccin IP (ej. 192.168.1.101) y direccin
MAC (ej. 00-0A-E6-DF-5A-01) mediante ipconfig /all. En Linux utilice ifconfig.
17. Si est usando una conexin inalmbrica, la lista estar en blanco ya que primero deber conectarse a un punto de acceso.
En el caso de Windows XP, ejecute Ver redes inalmbricas disponibles haciendo clic con el botn derecho sobre el cono de
red que est en la barra de tareas de Windows. En el caso de Windows 7, haga clic con el botn derecho sobre el cono de red
que est en la barra de tareas de Windows y seleccione Conectarse a una red.
18. En el caso de Ubuntu, haga doble clic sobre el cono de Network Manager que se encuentra en la barra superior derecha de la
ventana de la pantalla y se mostrar una lista de las redes inalmbricas cercanas. Seleccione la que le interesa y haga clic sobre la
misma para conectarse.

19. En el caso de Kali Linux (el antiguo BackTrack), vaya a Internet y haga clic sobre Wireless Assistant. En la ventana que se abra se
despliega una lista de las redes inalmbricas cercanas. Seleccione la que le interesa y haga clic sobre Connect.
20. Antes de efectuar un ataque de ARP spoofing, es conveniente que practique con el uso de Ettercap para capturar y guardar las
contraseas enviadas desde su propia mquina. Tome en cuenta que normalmente Ettercap no acta como un sniffer completo, sino
como un sniffer con filtros, utiliza un mdulo llamado Active Dissector el cual extrae informacin interesante (por ejemplo
contraseas) de numerosos protocolos, incluyendo TELNET, FTP, POP3, RLOGIN, SSH1, ICQ, SMB, MySQL, HTTP, NNTP, X11,
NAPSTER, IRC, RIP, BGP, SOCKS 5, IMAP 4, VNC, LDAP, NFS, SNMP.
21. En el men de Ettercap active la captura mediante Start | Start sniffing.

22. Mediante un browser como Internet Explorer o Firefox conctese a ftp://ftp.microsoft.com (u otro servidor FTP annimo) y
observe lo que captur Ettercap. Deberan mostrarse las credenciales FTP capturadas (las cuales no viajan encriptadas).
FTP: 207.46.236.102:21 -> USER: anonymous PASS: IEUser@

-1223. Tome en cuenta que si la red se comunica por medio de un hub (concentrador de cableado) en vez de con switch (o un punto de
acceso inalmbrico), se podran capturar con Ettercap (o con un sniffer como CommView/Wireshark) las credenciales FTP de otros
usuarios, ya que los paquetes llegan directamente a todas las mquinas de la red.
24. A continuacin se capturarn las credenciales de autenticacin usadas en Telnet. Para tal fin ejecute Putty, que se encuentra en la
carpeta Varios del DVD y coloque los datos mostrados en la figura. Como protocolo seleccione Telnet. Luego pulse Connect.

25. Si logra conectarse, se le pedir el login y el password. Ponga unos valores cualesquiera. En el segundo intento, ponga demo y deje
la contrasea en blanco. De esta manera debera poder entrar. Observe lo que captur Ettercap. Deberan mostrarse las credenciales
Telnet capturadas (las cuales no viajan encriptadas).
26. La siguiente experiencia ilustra la captura de las credenciales de autenticacin de POP3, el protocolo utilizado para descargar los
emails desde el servidor de correo hacia el cliente (ej. Outlook). Para tal fin ejecute Putty funcionando como cliente Telnet. Se
encuentra en la carpeta Varios del DVD. Como nombre del host, ponga por ejemplo pop.cantv.net, pop.mail.yahoo.com o
pop.mipunto.com. Como puerto ponga 110 (en vez del usual 23, que se utiliza para el protocolo Telnet). Como protocolo seleccione
Raw. Luego pulse Open. Debera aparecer un mensaje parecido al siguiente y que indica que el servidor POP 3 est preparado para
aceptar rdenes:
+OK Hello there

27. A continuacin hay que introducir el nombre del usuario. Es indiferente que use maysculas o minsculas, pero si se equivoca, no
puede retroceder.
USER vmendillo

28. Finalmente introduzca la contrasea. Si los datos son incorrectos, el servidor enviar un mensaje de error, pero eso no es
importante en este momento.
PASS abc123

29. Observe lo que captur Ettercap. Deberan mostrarse las credenciales POP3 capturadas (las cuales no viajan encriptadas).
POP: 200.44.32.7:110 -> USER: vmendillo PASS: abc123

Esta experiencia muestra un uso interesante de Ettercap: un usuario puede recuperar la contrasea para el acceso a su cuenta, la cual la
haba utilizado alguna vez para configurar su cliente de correo (ej. Outlook), pero luego la haba olvidado.
30. Por ltimo se capturarn las credenciales de autenticacin usadas para logearse en ciertos sitios Web y que no estn codificadas,
encriptadas o hasheadas. Mediante un browser conctese a http://www.iptel.org e introduzca un login y password cualesquiera. En la
ventana a la izquierda en Cain seleccione HTTP. Pero no lograr ver las credenciales utilizadas, ya que hace falta configurar
apropiadamente las variables que utiliza el mtodo POST de esa pgina Web.
31. Una solucin ms simple es activar en Ettercap el log de captura mediante Logging | Log all packets and infos.

-13-

32. Escoja un dombre para el archivo de registro (ej. dump1).

33. Conctese de nuevo aconctese a http://www.iec.org e introduzca un login y password cualesquiera. De tener tiempo e inters,
hago lo mismo con los siguientes sitios que utilizan autenticacin simple (u otros que usted conozca): http://mipunto.com,
http://www.cantv.net, http://www.techrepublic.com, http://www.correo.ucv.ve, http://profesor.unimet.edu.ve.
34. Para la captura con Ettercap mediante Stop sniffing.
35. Mediante la utilidad etterlog puede abrir y analizar el archivo de captura (el cual se guarda con la extensin ecp). En Windows se
guarda en la carpeta C:\Archivos de programa\EttercapNG, donde tambin se encuentra etterlog.exe. Abra una ventana de comandos e
intruduzca comandos como los siguientes:
cd C:\Archivos de programa\EttercapNG (o cd C:\Program Files\EttercapNG)
etterlog -e passw dump1.ecp > dump1.txt
El parmetro -e es para buscar una expresin en los datos capturados y el resultado se reenva al archivo dump1.txt. Para ms
informacin sobre el uso de Etterlog, consulte Etterlog.pdf en la carpeta Contraseas\Ettercap del DVD.
36. Abra dump1.txt con un editor de texto y busque las ocurrencias de passw.
CUS_EMAIL=vmendillo@gmail.com&CUS_LOGIN_PASSWD=abc123

37. Para conocer un poco ms sobre Ettercap, en el men principal seleccione View | Connections y analice los datos que all se
muestran.

-14-

38. Notar que aparece informacin sobre el trfico de su propia mquina. Pero de las otras mquinas slo aparece el trfico broadcast
(ya que el switch o el punto de acceso inalmbrico no reenva el resto del trfico).

39. Seleccione una de las conexiones y pulse View Details.

40. En el men principal de Ettercap seleccione View | Statistics y analice las estadsticas del trfico.

41. En el men principal de Ettercap seleccione View | Profiles y analice la informacin que all se muestra.

42. En la lista que aparece bajo View | Profile, haga doble clic sobre algunas de las mquinas remotas y analice la informacin
desplegada, en particular el sistema operativo. Tome en cuenta que se trata de sitios a los cuales se ha conectado su PC.

-15-

Seccin D: Ataque de ARP spoofing mediante Ettercap

1. Luego de las experiencias anteriores, usted posiblemente est listo para efectuar y entender el ataque de ARP spoofing en una red
local. Para la explicacin que sigue se asumirn los equipos mostrados en la figura, donde A y B son las mquinas atacadas y C es la
mquina del atacante (la suya). El ataque con Ettercap funciona an cuando las mquinas A y B estn conectadas de forma inalmbrica
a un mismo punto de acceso. Tome en cuenta que si la red se comunica por medio de un hub (concentrador de cableado) en vez de con
un switch o punto de acceso.inalmbrico, no es necesario el ataque de ARP Spoofing, ya que los paquetes llegan directamente a todas
las mquinas de la red. En tal caso las contraseas, si no estn encriptadas o hasheadas, se podrn espiar de la forma como se explic
en la seccin anterior.

2. En la ventana Hosts list seleccione la mquina A (usualmente el router o la puerta de enlace predeterminada) y pulse el botn Add to
target 1. Luego seleccione la mquina B y pulse el botn Add to target 2. La idea es interceptar el trfico entre A y B usando ARP
spoofing.

-16-

3. En realidad como Target 2 se pueden seleccionar varias mquinas, si para todas ellas la mquina A es el router o la puerta de enlace
predeterminada, pero esto puede sobrecargar la mquina C del atacante (la cual debe funcionar como un router rpido). En tal caso las
mquinas atacadas experimentaran fuertes retardos.
4. En el men principal de Ettercap seleccione View | Connections, pero nada interesante va a aparecer en relacin al trfico de la
mquina vctima, hasta que seleccione Mitm | Arp poisoning. (Mitm es el acrnimo de Man-in-the-middle).

4. En el dilogo que aparece, marque Sniff remote connections. La captura es ms completa cuando se configura para ambas
direcciones, de lo contrario, no se podrn ver las respuestas que recibe la victima. Si en cambio de selecciona la opcin Only poison
one way, se efectuar el envenenamiento slo de TARGET1 a TARGET2. Esta opcin permite ver la contrasea que introduce el
uaurio y puede ser prudente su uso en el caso de TARGET2 sea un router, el cual no conviene envenenarlo ya que quizs se ponga
muy lento o podra detectar el ataque con una herramienta como ARP Watch.

-175. En la ventana de Ettercap se mostrar entonces informacin como la siguiente:

ARP poisoning victims:
GROUP 1: 192.168.1.1 00:0F:66:51:36:62
GROUP 2: 192.168.1.148 00:16:36:49:7F:0A

6. Despus de esto solo basta con activar la captura mediante Start | Start sniffing. Una vez iniciado el ataque, aparentemente casi nada
ha cambiado en la red, pero en realidad su mquina est enviando una gran cantidad de paquetes ARP falsos a las otras 2 mquinas, a
fin de envenenar sus tablas ARP. Ettercap se encarga transparentemente de reenviar los paquetes desde una mquina hacia la otra
mquina y de mostrarinformacin interesante capturada (tal como el nombre de usuario y su contrasea). Tome en cuenta que puede
ser ilegal realizar este tipo de actividad, a menos que tenga el permiso para hacerlo o se trate de sus propios equipos. Adems el ataque
puede ralentizar la red o incluso dejarla fuera de servicio si no procede con cuidado, ya que la mquina del atacante debe interceptar,
analizar y reenviar cada paquete entre A y B.
7. De tener tiempo e inters, capture el trfico con un sniffer como Commview/Wireshark y trate de entender lo que all est pasando,
en particular los paquetes de ARP spoofing. Tome en cuenta que el uso continuado de un sniffer pesado como Commview/Wireshark
sobrecarga su mquina, la cual tambin debe ocuparse de reenrutar los paquetes que intercepta. En tal caso las mquinas atacadas
podran experimentar congestin. Adems el ataque falla sin el switch usa algn mecanismo de proteccin contra ste y otros tipos de
ataques.
8. Asumiendo que usted est realizando estas efectuando estas experiencias con sus propias mquinas, vaya a la mquina vctima y use
el comando arp -a para ver cmo fue modificada su tabla ARP.
9. Luego desde esa misma mquina genere trfico conectndose a un servicio en red que requiera autenticacin (HTTP, FTP, POP3,
). Por ejemplo, visite algunos de los sitios Web vistos en la seccin anterior e introduzca las credenciales de autenticacin:
http://mipunto.com, http://www.cantv.net, http://www.techrepublic.com, http://www.correo.ucv.ve, http://profesor.unimet.edu.ve.
10. Podr ver algunas de las credenciales capturadas directamente en Ettercap. Otras deber buscarlas en el log de captura.

Seccin E: Defensa contra ataques de ARP spoofing

Existen varias formas de intentar proteger una red contra este tipo de ataque. Ignorar el problema no es una buena solucin a menos
que se tenga una confianza plena en todos los usuarios de la red. Una posible solucin sera imposibilitar la descarga y ejecucin de
software externo como Cain y Ettercap, aunque esta regla es extremadamente difcil de llevar a cabo. Los administradores tendran que
restringir el uso de la conexin a Internet. HTTP, HTTPS, FTP y el correo electrnico hacen que le sea fcil a un atacante infiltrar
dentro de la red software daino. Los administradores tendran tambin que prohibir el uso de pendrive, diskette, CD, DVD, adems
de dispositivos mviles como porttiles y PDAs. Debido a las restricciones de uso, esta solucin es inviable.
Si se usa Linux en la red interna y no se le da a los usuarios los permisos de root, se pueden evitar la mayora de los ataques: los
usuarios necesitan los privilegios de root para enviar paquetes ARP dainos. Sin embargo, como administrador, no se tiene una forma
efectiva de impedir que los usuarios arranquen sus mquinas desde un CD o que conecten sus laptops a la red.
Otra alternativa para protegerse es impedir el reasignamiento de direcciones MAC-IP existentes. El parche Anticap implanta este
comportamiento para Linux, FreeBSD y NetBSD. Solaris tiene una opcin similar, que requiere que un temporizador expire antes de
aplicar el cambio. Este comportamiento se puede configurar libremente, sin embargo, una solucin como el parche Anticap solamente
protege sistemas que estn encendidos permanentemente y los atacantes no tendrn ningn problema de manipular las entradas nuevas
una vez que las entradas en la cach hayan expirado.
Un mtodo mtodo bastante sencillo es el uso de tablas ARP estticas en cada mquina. Sin embargo sta no es una solucin
prctica en redes grandes, debido al enorme esfuerzo necesario para mantener las tablas ARP actualizadas: cada vez que se cambie la
direccin IP de un equipo, es necesario actualizar todas las tablas de todos los equipos de la red. El nmero de entradas ARP crece
proporcionalmente al cuadrado del nmero de mquinas. Dicho de otro modo, haran falta 9900 entradas para un sistema con cien
mquinas (99 para cada uno de ellos). Esto implica un enorme esfuerzo de administracin, especialmente si se tienen que resolver
problemas de red. Adems el sistema operativo Windows permite a los atacantes manipular incluso las entradas ARP estticas
asignadas manualmente, conseguir un entorno seguro es realmente difcil. Dividir la red en un gran nmero de subredes y asignar un
pequeo nmero de usuarios a cada subred puede ayudar a limitar la exposicin a ataques ARP.
Una buena solucin para impedir ataques de ARP Spoofing en una red cableada se basa en el hecho que muchos switches de marca
permiten seguridad a nivel de puertos. El switch tan slo aprende la direccin MAC una sola vez y la almacena permanentemente. A
partir de este momento, el switch no aceptar ninguna otra direccin MAC conectada a ese puerto. Como punto negativo se tiene que
el administrador debe reconfigurar el switch cada vez que se cambie una mquina. Al contrario que los hubs, los switches usan tablas
CAM (memoria de contenido direccionable), que especifican el puerto correspondiente a cada direccin MAC del switch. El switch

-18tan solo enviar paquetes a travs del puerto que conduzca a la mquina destino. Los atacantes pueden intentar deshabilitar esta
funcionalidad sobrecargando el switch con muchas direcciones, ya que la tabla CAM solo puede contener un nmero determinado de
direcciones. Si el ataque tiene xito, se consigue que el switch funcione como un hub y esto permite que las comunicaciones sean
visibles por cualquier puerto.
DHCP Snooping es una tcnica que permite mitigar los ataques de ARP Spoofing y la utilizan fabricantes de switches como Cisco,
Extreme Networks y Allied Telesis. Se descarta el paquete para un puerto con una direccin MAC de origen que no corresponde con la
direccin MAC que solicit el DHCP_REQUEST en ese puerto. Tambin se descartan mensajes DHCP_RELEASE o
DHCP_DECLINE en un puerto con una direccin MAC de origen que no corresponde con la direccin MAC que solicit el
DHCP_REQUEST en ese puerto.
Comprobar la existencia de direcciones MAC clonadas (correspondientes a distintas direcciones IP) puede ser tambin un indicio
de la presencia de ARP Spoofing, aunque hay que tener en cuenta, que hay usos legtimos de la clonacin de direcciones MAC. RARP
(Reverse ARP, o ARP inverso) es el protocolo usado para consultar, a partir de una direccin MAC, su direccin IP correspondiente.
Si ante una consulta, RARP devuelve ms de una direccin IP, significa que esa direccin MAC ha sido clonada.
Las tcnicas actuales no pueden proporcionar una proteccin completa frente a ataques ARP, pero puede puden complementarse
con sistemas de deteccin de intrusos (IDS) y mecanismos criptogrficos a nivel de red (como IPSec) en vez de SSL. Hay un grupo de
investigadores que solicitan que ARP sea reemplazado con una versin ms segura. S-ARP se basa en criptografa, un CA (Autoridad
de Certificacin) y mensajes ARP firmados digitalmente. Sin embargo, se cuestiona si vale realmente la pena: IPSec proporciona
mucha ms proteccin con el mismo esfuerzo, donde S-ARP tan solo protege ARP. Lo nico que ARP tiene a su favor es que implica
menor sobrecarga de CPU en los sistemas.
Snort es un ejemplo sobresaliente de lo que es un IDS para redes. Este sistema de deteccin de intrusos ayuda a los administradores
a detectar ataques en una red en una fase temprana, permitiendo implementar contramedidas. Snort dispone de un preprocesador
Arpspoof con cuatro mecanismos de deteccin:
a) Para cada peticin ARP que detecta, Arpspoof valida la direccin fuente en el cuadro Ethernet contra la direccin fuente el
paquete ARP. Si ambas direcciones no coinciden, emite una advertencia. El envenenamiento ARP no implica la utilizacin de
direcciones diferentes en estos campos, por lo que no se detectara un ataque en todos los casos.
b) Para respuestas ARP, se lleva a cabo una comparacin de direcciones fuente y destino. Si una de estas comparaciones no
coinciden, Snort emite una advertencia. Como en el caso anterior, esto no detectara envenenamiento ARP per se, aunque s
Proxy ARP. Por otro lado, esta tcnica a menudo es legtima e involucra una mquina que contesta peticiones ARP en
delegacin de otra mquina.
c) El sistema alerta en el caso de peticiones ARP que se envan a direcciones unicast en vez de a broadcast. Aunque este
comportamiento no se conforma al estndar (que tiene ms de 20 aos), existen buenas razones para ello. Sin embargo, un
autntico ARP no necesita unicastear peticiones, por tanto, al igual que ms arriba, este mecanismo podra fallar a la hora de
detectar una ataque de envenenamiento.
d) Snort comprueba todos los paquetes ARP basndose en una lista de direcciones IP y MAC proporcionadas por el
administrador. Si la direccin IP est en la lista, el IDS leer su correspondiente direccin MAC de la lista y la comparar con
la direccin MAC del paquete y del cuadro Ethernet. En el caso de discrepancia, Snort emite una advertencia. Este mecanismo
slo es til para redes pequeas, al ser el esfuerzo de configuracin demasiado grande en otros casos. No hay ninguna manera
de utilizar esta funcionalidad de manera consistente con asignacin dinmica de direcciones (DHCP). En otras palabras, la
capacidad de Snort para la deteccin de envenenamiento ARP es limitada, al igual que en el caso de otros Sistemas de
Deteccin de Intrusos.
Existen herramientas especificamente diseadas para detectar ataques ARP, tal como ARPwatch, ARPcacheWatch, XArp,
ARPDefender, AntiARP, que monitorean las actividades de la cach ARP en la mquina. Por ejemplo, en el caso de ARPwatch, la
informacin de direccionamiento que llega en los paquetes ARP se guarda en una base de datos. Si el dato no coincide con las entradas
ya almacenadas, se enva un correo al administrador, avisndole. Tambin se avisa de la presencia de nuevas mquinas (aparicin de
una nueva MAC en la red). Sin embargo actualmente la mayora de las redes usan direcciones IP dinmicas asignadas por DHCP
(Dynamic Host Configuration Protocol). En esta clase de entornos, habr gran cantidad de avisos con falsos positivos, ya que alertar
de cualquier cambio producido por las direcciones IP/MAC. Arpwatch est incluida en OSSIM (Open Source Security Information
Management), la cual es una coleccin de herramientas bajo Linux, diseada para ayudar a los administradores de red en la seguridad
de las computadoras, deteccin de intrusos y correlacin de eventos.
En la carpeta Contraseas\ARP spoofing\ARPwatch del DVD se encuentra la versin para Windows, sin embargo su
funcionamiento no es muy estable y adems no funciona bajo Vista.
ArpCacheWatch es una sencilla herramienta de NsaSoft que monitorea la cach Arp y permite enviar peticiones Arp a una mquina
de la red. Se encuentra en la carpeta Contraseas\ARP spoofing\ArpCacheWatch del DVD.

-19-

XArp es una avanzada herramienta desarrollada por Christoph P. Mayer, un estudiante de Ph. D. del Instituto de Telemtica,
Universidad de Karlsruhe (Alemania). Se encuentra en la carpeta Contraseas\ARP spoofing\XArp del DVD y tambin se puede
obtener el demo de 15 das de http://www.chrismc.de.

Seccin F: Informe
Elabore un informe de no menos de 8 pginas donde se reportan las experiencias ms relevantes, se analizan los resultados obtenidos,
finalizando con conclusiones y eventuales recomendaciones.
El informe debe ser individual y redactado con palabras propias; no se permite repetir el texto del material que se encuentra en esta
gua, en el DVD o en otras fuentes. Debe contener un resumen de las actividades realizadas, con ejemplo de resultados. Deben
analizarse y discutirse esos resultados, en particular si se presentaron problemas o aspectos inesperados. Tambin deben incluirse las
conclusiones y eventuales recomendaciones.
Los informes deben enviarse regularmente al profesor a lo largo del curso, mediante el correo electrnico. Sern penalizadas las
entregas retrasadas y no se aceptarn entregas muy retrasadas. Adems NO se aceptarn informes entregados todos juntos los ltimos
das de finalizacin del curso.