Sniffer espiando el trafico en nuestra red local :)

En este post veremos algunas cosas que podemos lograr con el sniffeo en alguna red local.

Que es un sniffer y que podemos hacer con el? un sniffer es un software con el cual podemos ver
el trfico de nuestra red local, para poder ver el trfico de nuestra red la tarjeta de red que estemos
usando debe de ponerse en modo promiscuo, el modo promiscuo se activa automtica mente al
configurar nuestro sniffer y lanzar el anlisis de nuestro trafico.
Osea es estar de chismoso viendo lo que los dems estn haciendo en nuestra red XD

Bueno en este ejemplo utilizar como atacante a una maquina con kali-linux y la vitcitma ser un
Windows 7 ultimate

Lo primero que haremos es mandar llamar a nuestro programa. kali linux trae varios sniffers pero
en esta ocasin usremos ettercap.

el comando para mandarlo llamar ser ettercap -G (ojo podemos manejar ettercap de varias
maneras el parmetro -G es para mandarlo llamar de forma grfica)

siguiente paso ser ir al menu Sniff y seleccionamos Unified sniffing ahi lo que haremos es
seleccionar la interface de red que estamos utilizando, como en este caso yo estoy conectado por
medio de cable de red ethernet mi interfaz de red ser eth0
una vez le hemos dado click a Unified sniffing seleccionamos la interfaz et h0 como habamos
mencionado anteriormente
Una vez que hemos dado click en el boton de ok vemos como los menus cambian y en la parte
inferior nos da varios mensajes de cosas que "cargo ettercap" como lo son plugins, puertos y otras
cosas mas

El siguiente paso ser ver todos los dispositivos conectados a la red para eso nos vamos al menu
Hosts y damos click en Scan for hosts (tambin podemos presionar la combinacin de teclas Ctrl +
s)
Ahora procedemos a ver los hosts que encontr ettercap, para verlos hosts que encontr vamos al
menu Hosts y despues damos click en Hosts list
En este caso a mi me detect 4 hosts y veamos cuales fuern
En este caso seleccionaremos como nuestra victima el dispositivo con el ip 192.168.1.20 esa ser
nuestra victima otra cosa que necesitamos saber es cual es la ip del router, para saber la ip del
router tenemos el siguiente comando:
route -n

Ahi podemos observar que la ip local del modem es 192.168.1.254 ya que es lo que le corresponde
al Gateway o puerta de enlace.
Por que necesitamos saber la ip de nuestra vitima y del router? la respuesta es sencilla, lo que
vamos a hacer es ponernos "en medio de ellos 2" para poder estar interceptando las
comunicaciones
este tipo de ataque se conoce como man in the middle o ataque de hombre en medio.

Entonces aqui damos click al ip de mi victima y despues damos click al boton que dice Add to
target 1
Ahi vemos que nos aparece el mensaje en la parte de abajo y dice Host 192.168.1.20 addes to
TARGET 1.
Ahora le damos click a la ip del modem "192.168.1.254" y damos click en el boton que dice Add to
Target 2
El siguiente paso sera ir al menu Mitm y seleccionar arp poisoning, pero antes de eso vamos a la
computadora con windows 7 (que es nuestra victima) habrimos la consola de cmd y escribimos el
comando:
arp -a
El protocolo ARP tiene un papel clave entre los protocolos de capa de Internet relacionados con el
protocolo TCP/IP,
ya que permite que se conozca la direccin fsica de una tarjeta de interfaz de red correspondiente
a una direccin IP.
Por eso se llama Protocolo de Resolucin de Direccin (en ingls ARP significa Address Resolution
Protocol).
Cada equipo conectado a la red tiene un nmero de identificacin de 48 bits.
ste es un nmero nico establecido en la fbrica en el momento de fabricacin de la tarjeta.

fuente: wikipedia

Entonces el comando arp -a me muestra las direcciones mac que le corresponde a cada dispositivo
de la red.
Por que estoy mostrando esto por que veremos como es el cambio cuando se infectan las tablas
arp con ettercap.

Entonces ahora si vamos al menu Mitm y seleccionamos Arp poisoning (envenenar arp :D )
Una vez selccionado Arp poisonin nos saldra el siguiente cuadro, ahi selecc ionamos la opcin que
dice Sniff remote conections y damos click en el boton ok
Por ultimo vamos al menu Start y selecionamos start sniffing
Acontinuacion veremos como al principio con el comando arp -a la ip de kali (192.168.1.99) tiene la
mac address 00-0c-29-3a-bc-f9 y la ip del moden (192.168.1.254) tiene la mac address 00-23-51-
0c-5b-b9. Eso fue antes de lanzar el esnifeo en la segunda parte volvemos a poner el comando en
la consola de windows arp -a y vemos como la ip del modem tiene la misma mac address que la ip
de kali :D :D :D :D :D
En este caso nuestra victima esta entrando a la pagina http://www.directoriow.com y se va a
loguear en su cuenta
Ahora vemos en la esquina superior derecha que el usuario ya se encuentra logueado :D
Ahora vemos que ettercap captur el usuario y la contrasea del sitio donde se logueo la victima :)
esto, fu posible por que la pagina usa http en vez de https y las contraseas viajan por la red en
texto plano en https las contraseas estan encriptadas.

tambin podemos ver que aparece 2 vecese user con un pass diferente esto es por que el primero
fue un error en la contrasea.