¿Existe un método para detectar un hombre en el medio activo? [duplicar]

10

Suponiendo que un atacante ha ganado acceso al enrutador. ¿Hay alguna forma, para que la víctima, se dé cuenta de que está siendo atacada?

Creo que uno de mis amigos es víctima de este tipo de ataque. ¿Cómo puedo estar seguro de que este es el ataque que se está realizando sobre él?

Más detalles: Alguien está cambiando constantemente sus contraseñas de Facebook, etc.

    
pregunta eversor 30.09.2012 - 21:49
fuente

5 respuestas

4

Hay varios "avisos" que tu amigo puede detectar si es víctima de un vector mitm.

¿La conexión de tus amigos es más lenta de lo habitual? ¿Es la página de Facebook exactamente igual a la que ve en el trabajo, la escuela, etc.? (Compare la fuente) Ettercap tiene algunos modos diseñados para detectar un ataque mitm que tu amigo puede usar.

Ninguno de los métodos anteriores es infalible, pero juntos crean una imagen de los posibles efectos secundarios. Tu amigo puede omitir un dns_spoof navegando a facebook por su ip (66.220.149.88) y nosotros un túnel vpn (es gratis pero lento)

Habiendo dicho todo esto, es improbable que tu amigo sea víctima de un ataque mitm. Es extremadamente probable que su máquina esté infectada con keyloggers. Haga que su amigo realice una exploración de virus, elimínelos y luego compruebe todas las configuraciones de seguridad de Facebook.

Además, si tu amigo usa yahoo, pídeles que cambien a gmail.

    
respondido por el November 30.09.2012 - 21:58
fuente
3

En general, no. No hay una manera confiable de detectar que eres víctima de un ataque de hombre en el medio.

Hay algunas cosas que puede hacer para detectar ataques imperfectos; entre ellos, el principal es intentar usar SSL (https) siempre que sea posible, y verificar la barra de direcciones del navegador para confirmar que SSL está en uso (por ejemplo, hay un resplandor verde o azul detrás de la dirección). Si está utilizando SSL, y si evita hacer clic en las advertencias de los certificados, debería estar relativamente a salvo de un ataque de hombre en el medio. Pero hay poco que puedas hacer para detectar un ataque de hombre en el medio cuando estás usando http.

Dicho esto, soy escéptico de que tu amigo esté siendo hackeado por un ataque de hombre en el medio. Es más probable que su contraseña o cuenta haya sido comprometida. Sugiero las siguientes medidas para recuperar:

  • Analice su computadora en busca de malware / spyware usando Malware Bytes o algún otro buen escáner de malware. Elimine todo el malware / spyware detectado.

  • Cambie su contraseña y su contraseña de administrador en su computadora.

  • Activar antivirus (por ejemplo, Microsoft Security Essentials, Avast, etc.).

  • Activar Windows Update. Ejecute Windows Update para actualizar el sistema operativo. Actualice su navegador, si no está ejecutando el navegador más reciente.

  • Si usa Firefox, pídale que instale HTTPS Everywhere.

  • Configure Facebook para usar SSL (HTTPS) para todas las conexiones.

  • Ahora, pídale que cambie su contraseña de correo electrónico (por ejemplo, su contraseña de Gmail) y su contraseña de Facebook. Además, haga que elimine / desinstale todas las aplicaciones de Facebook. Las aplicaciones de Facebook malintencionadas son una forma común para las personas que atacan a las personas. Asegúrese de que la nueva contraseña sea larga y segura.

  • ¡Si el problema desaparece, eres bueno!

respondido por el D.W. 01.10.2012 - 05:31
fuente
2

Sí, puedes detectar un ataque Man-in-the-middle en https en el navegador comprobando que la huella dactilar de la conexión https sea correcta.

Por ejemplo, si desea comprobar que enlace no está MiTM atacado en Internet Explorer 11 (usa dos ventanas diferentes, porque el cuadro de diálogo Ver Certificados es modal):

  1. Abra enlace en IE11 en el escritorio
  2. Abra una nueva ventana de IE (ctrl-N en el escritorio) y vaya a enlace
  3. Haga clic en el bloqueo junto a la dirección, haga clic en el botón Ver certificados y aparecerá un diálogo modal.
  4. En la pestaña General, compruebe que el "Publicado en" es * .facebook.com
  5. En la pestaña Detalles, desplácese hasta la parte inferior, haga clic en la huella digital y verifique que los números y las letras de la huella digital coincidan con los que aparecen en enlace para * .facebook.com (cuando se comparan las huellas dactilares, se ignoran las diferencias en mayúsculas / minúsculas, y se ignoran los espacios / dos puntos).

Si desea revisar cualquier otro navegador, siga las instrucciones mucho más abajo en la página bajo el encabezado "Cómo mostrar la huella digital del certificado SSL de esta página (o de cualquier página):" en enlace . Si desea consultar cualquier otro dominio, bajo el encabezado "Huellas digitales del sitio personalizado" cerca de la parte superior de la página, puede solicitar el Nombre del certificado oficial y la Huella digital para cualquier dominio.

Esta es una forma bastante robusta de detectar ataques de proxy del hombre en el medio (para proxies en la máquina o la red). No detectará ningún virus, etc., que haya infectado el navegador (los llamados ataques "hombre en el navegador").

    
respondido por el robocat 26.05.2014 - 07:15
fuente
0

Mis dos centavos: Si su amigo está en un sistema * nix, primero puede anotar la dirección MAC del enrutador desde el panel web del enrutador y luego ejecutar el siguiente comando:

arp -a

Puede verificar la dirección MAC en la que se encuentra el enrutador en la tabla ARP. Si la dirección MAC del enrutador es diferente de lo que debería ser, esa es una indicación.

En segundo lugar, Puede verificar las resoluciones de DNS para, por ejemplo, facebook.com ejecutando:

nslookup facebook.com

, si la dirección devuelta es una dirección local, digamos, 192.168.0.105 o algo así, esto debería indicar que se están secuestrando las resoluciones de DNS.

Más fácil aún en la capa de aplicación, es decir, en el navegador, cada vez que navegue por un sitio web que use credenciales o algo sensible, verifique la barra de URL para determinar si la comunicación se está realizando a través de HTTPS. Incluso si el tráfico está siendo detectado por una conexión LAN a un conmutador, su tráfico sería ilegible para el atacante debido a HTTPS.

    
respondido por el Aatif Shahdad 03.03.2015 - 10:39
fuente
-1

Una técnica común es el arp spoofing. Así que fíjate en los cambios de la tabla arp (existen herramientas como arpwatch). Además, observe las respuestas múltiples a sus solicitudes de arp.

    
respondido por el Bender 11.10.2012 - 18:34
fuente

Lea otras preguntas en las etiquetas