Ataque Man in the middle con DHCP ACK Injector

Si ayer os hablaba de GetMSNIPs para obtener las direcciones IP de los contactos del Messenger,
hoy toca hablaros de otra herramientas ms que han salido desde el departamento de Auditora
de Aplicaciones Web de Informtica64 para ser usada en las clases del FTSAI, y que tambin se ha
programado nuestro amigo Thor (@francisco_oca). Adems de esta tool, en Seguridad Apple otro
compaero, The Sur, ha revisado USB Dumping para robar datos de los pendrives enchufados a tu
Mac OS X, con soporte para enviar los datos robados a servidores FTP. Adems, ya est disponible
desde hace poco tiempo C.A.C.A. la herramienta para hacer fingerprinting de aplicaciones en
servidores Citrix que se pic nuestro compi Rodol. Ahora vamos con DHCP ACK Injector.

Introduccin a los ataques Man in the middle

Hoy en da cuando se habla de realizar un ataque MITM en redes LAN a todos se nos viene a la
cabeza el trmino ARP Poisoning. La tcnica, a grandes rasgos, consiste en envenenar la cache
ARP de un cliente de una red LAN para hacerle creer que la MAC de la puerta de enlace es la
direccin MAC del equipo atacante, pudiendo de este modo situar la mquina del atacante en
medio de las comunicaciones efectuadas entre el equipo vctima y la puerta de enlace. Con el
siguiente grfico sacado de la Wikipedia nos podemos hacer una idea de su funcionamiento:

Figura 1: ARP Poisoning

Sin embargo, para detectar estos ataques existen ya infinidad de

herramientas como ArpON, Patriot NG y nuestra querida Marmita que pronto ver la luz. Incluso
para Mac OS X, nuestros compaeros de Seguridad Apple hicieron un script basado en nmap y
arp_cop para detectar tambin los ataques man in the middle. Sin embargo, existe otra forma
muy sencilla de realizar un ataque MITM en redes LAN utilizando el protocolo DHCP.

El Protocolo DHCP

Primero vamos a echar un vistazo al protocolo DHCP en Wikipedia:

DHCP (sigla en ingls de Dynamic Host Configuration Protocol - Protocolo de configuracin

dinmica de host) es un protocolo de red que permite a los clientes de una red IP obtener sus
parmetros de configuracin automticamente. Se trata de un protocolo de tipo cliente/servidor
en el que generalmente un servidor posee una lista de direcciones IP dinmicas y las va
asignando a los clientes conforme stas van estando libres, sabiendo en todo momento quin ha
estado en posesin de esa IP, cunto tiempo la ha tenido y a quin se la ha asignado despus.
 Figura 2: Comunicacin DHCP
Los pasos que definen su funcionamiento son los siguientes:

El cliente enva un paquete DISCOVERY para que el servidor DHCP de dicha red de
computadoras le asigne una Direccin IP y otros parmetros como la mscara de red o el nombre
DNS.

A continuacin el servidor DHCP responde con un OFFER en el que suministra una serie de
parmetros al cliente, IP, puerta de enlace, DNS, etctera.

El cliente selecciona los parmetros que le interesan y con un REQUEST solicita estos
parmetros al servidor.

Por ltimo el servidor reconoce que se ha reservado correctamente los parmetros solicitados
con un DHCP ACK y se los enva al cliente.

Una vez que conocemos como funciona el protocolo, cmo podemos aprovecharlo para realizar
ataques MITM?

Servidor DHCP falso: Roge DHCP Server

Una opcin es configurar un servidor DHCP falso, por ejemplo con el demonio dhcp3 de Linux. De
esta forma cuando el cliente enva un DISCOVERY responden con un OFFER tanto el DHCP real
como el servidor DHCP que hemos montado en Linux. Pero a quin hace caso el cliente? Pues al
que consiga enviar antes al cliente la respuesta DHCP OFFER, unas veces puede ser nuestro
servicio dhcp3, otras el servidor DHCP real.

Para realizar esto de una forma sencilla se puede utilizar el programa Ghost Phisher. ste monta
un servidor DHCP falso utilizando el servicio dhcp3, tambin permite montar un servidor DNS que
resuelva determinadas direcciones o todas hacia una IP que le indiquemos.

Lo malo de este ataque es que podemos detectar fcilmente que existen 2 servidores DHCP. Con
Wireshark mismamente podemos ver que responden a las peticiones DHCP dos direcciones IP
distintas: