¿La suplantación de ARP o DNS desempeña un papel al realizar MITM en ataques de AP falsos?

Navega tus respuestas
1

Tengo un entorno de prueba, donde pruebo algunas herramientas y enfoques de piratería inalámbrica, y últimamente me han interesado los ataques de los gemelos malvados. Creé un AP falso usando airbase-ng, y especifiqué las tablas de IP manualmente, en qué momento si el cliente conectado tenía acceso a Internet. Luego, disparé el marco MITMf y lo ejecuté con el siguiente comando: 

./mitmf.py -i at0 --spoof --hsts --arp --dns --gateway 192.168.0.1

Usando este enfoque, pude obtener las credenciales de la víctima (yo mismo en mi laboratorio de pruebas) de FB y GMail. Se estaba redirigiendo la conexión a algún subdominio no seguro, como account.google.com en lugar de las cuentas originales.google.com.

Por otro lado, traté de usar el kit de herramientas MANA para crear el AP falso automáticamente. También viene con herramientas como SSLStrip y dns2proxy (que también usa MITMf). Pero, una vez que ejecuté el script que viene con MANA ( start-nat-full.sh ), creó un AP falso y el cliente conectado tenía acceso a Internet, pero si el cliente quería visitar un sitio web como FB o GMail, la página no abierto en absoluto.

No dediqué tiempo a revisar el código fuente por completo, pero creo que una diferencia entre ellos es que MITMf también ofrece falsificación de DNS y ARP con la herramienta Spoof, que usé mientras ejecutaba el ataque. Si los elimino, el ataque no tendrá éxito, mientras que entonces abriría la versión segura de FB o GMail.

Sin embargo, no sé exactamente si esta fue la razón principal por la que tuvo éxito con una herramienta y no con la otra. Si alguien ha tenido experiencias similares me gustaría escuchar. Pero, mi pregunta es, ¿la función de suplantación ARP o DNS juega un papel en los ataques MITM (o eludir HSTS)?

    
pregunta typos 06.06.2016 - 23:33
fuente

3 respuestas

2

ARP Spoofing es principalmente la base de los ataques MitM. Se utiliza para redirigir el tráfico inicialmente. Esto se hace engañando a la víctima para que piense que su dirección MAC está asociada a la dirección IP de los enrutadores. Esto se llama ARP-Spoofing o ARP-Cache envenenamiento.

DNS Spoofing se utiliza para dirigirse a sitios específicos. Por ejemplo, si creó un sitio falso que se parece al de un banco local, enviará respuestas falsas para que el dominio asociado redirija el tráfico al sitio que controla en lugar del original.

La omisión de HSTS se realiza mediante la manipulación de la configuración de tiempo de los clientes. Esto se puede hacer manipulando el tráfico NTP que recibe el cliente. Hay una herramienta independiente para hacer esto llamada delorean . Esto no funcionará cuando el sitio aparezca en la lista de precarga HSTS.

También tuve diferentes experiencias con diferentes herramientas. Por ejemplo, arpspoof y bettercap funcionaron muy bien para mí, mientras que ettercap no hizo más que causar problemas.

    
respondido por el davidb 07.06.2016 - 00:25
fuente
0

En un ataque MITM que usa software como ettercap, el atacante se conectaría a un enrutador y luego desviaría el resto del tráfico a su computadora a través de la simulación de ARP para hacer la intercepción y luego enviarlo al enrutador. Sin embargo, si el atacante está ejecutando una "aplicación falsa", no necesita una falsificación de arp, ya que ya sería el "enrutador" de la red

Dicho esto, pueden utilizar DNS Spoofing en los casos en que quieran redirigir el tráfico a sus propios servidores (ya sea externamente o en una computadora portátil), por ejemplo, pueden ir a un punto de acceso WiFi público para robar contraseñas bancarias y luego ir a vende los datos o utilízalos directamente para cometer un fraude.

Sobre el tema de HSTS, solo se puede omitir si se cumplen los dos requisitos siguientes:

  1. El usuario nunca ha visitado el sitio web utilizando HSTS (o ha borrado previamente los encabezados de HSTS)

  2. El sitio web que usa HSTS no está precargado en su navegador web.

Solo cuando se cumplan estos dos requisitos, podrá omitir HSTS. El protocolo fue diseñado para prevenir los ataques de suplantación SSL eliminando la opción del usuario de continuar o no (a menos que NO esté precargado y el usuario haya eliminado manualmente el encabezado).

Esperamos que esto te haya proporcionado una idea de las diferencias entre los ataques.

    
respondido por el Cuban 06.08.2016 - 05:24
fuente
0

la mayoría de los ataques del hombre en el medio utilizan el envenenamiento ARP como método para posicionar un dispositivo malicioso entre los dos dispositivos.

ARP trabaja en la capa 2 de la capa de red. ARP se basa en la difusión y cualquier dispositivo puede responder a una difusión de ARP. normalmente los dispositivos almacenan cachés ARP, es decir, los dispositivos tendrán tablas ARP que almacenan las asignaciones de direcciones IP y MAC.

se puede realizar un MITM si todos los dispositivos están trabajando en el mismo dominio de difusión. el dispositivo malicioso emite respuestas de ARP continuas a ambos dispositivos el literalmente emite respuestas de ARP continuamente a ambos dispositivos y, por lo tanto, anula la memoria caché de ARP de otros dispositivos. ambos dispositivos con el cache venenoso ARP comienzan a enviar sus paquetes al dispositivo malicioso; quien a su vez reenvía al dispositivo correcto. Los dispositivos maliciosos ARP no están envenenados.

esto le permite a uno registrar el tráfico y, posiblemente, ver el contenido si no está cifrado.

una estrategia de mitigación típica es implementar VLAN, esto introduce dominios de transmisión adicionales. aunque cada VLAN seguirá teniendo el mismo dominio de difusión, ya que los dispositivos dentro de cada uno permanecen vulnerables entre sí.

espero que su ayuda de alguna manera.

    
respondido por el Darragh 06.08.2016 - 10:35
fuente

Lea otras preguntas en las etiquetas

¿Qué podría causar una afluencia repentina de correos spam no filtrados? [cerrado] ¿Cómo asegurar las credenciales básicas de autenticación REST de Android contra la ingeniería inversa?