Man in the Middle

Man in the middle MITMAndrade Bravo Andy Jose andyjose1994@hotmail.com Pico Aponte Grecia Maaly!"riel.may@yahoo.comAbstractThisdocument contains abrief explanationof astocomputer attack known as man in the midle MITM, so too thestepstocarryitoutthroughamachinewithkali_linuxLinuxoperating system.Kali linux, mitm, arp spoofing, I.I#T$%&'(TI%# )*+A&I#G 1,+nlaact"alidadm"chossonloscasos-"esehandadoso.re la inse"ridad de las redes in/orm0ticas1 esto de.ido alas /alencias o v"lnera.ilidad -"e e2iste en los protocolos decom"nicaci3n1 estas /alencias son desc".iertas por vir"screadosintencionalmenteconel soloo.jetivoaprovecharlav"lnera.ilidad de dichos protocolos1 conocidos como troyanoso mal4ares son capaces deaprovechar"na red 5A# o 6A#y poder inresar a comp"tadoras mediante los p"ertoscorrespondientes a cada protocolo de com"nicaci3n.+stos ata-"es tam.i7n han sido de ran ay"da para mejorarla se"ridaden las redes y en los protocolos de com"nicaci3n-"e han tenido /alencias y han dado paso a esc0ndalos p8.licosen empresas p8.licas y privadas por la violaci3n de s"s redesde in/ormaci3n.II. MITMMejor conocido como man in the middle consiste en "na reddondeentreel "s"arioyel servidore2iste"nintermediario)atacante,-"e sim"la ser elro"ter y asi poder capt"rar todoslospa-"etesopeticiones-"eel"s"ariohaaas"servidor1siendoe2aminados por el atacante-"eseenc"entraoc"ltote3ricamente entre servidor y "s"ario.Mitmes"nmod"loorientadoprincipalmentehaciala4e.-"ese"sael protocoldecom"nicaci3nhttp)The*yperte2tTrans/er Protocol, este protocolonoimplementa se"ridadcomo el protocolohttps)The *yperte2t Trans/er Protocolsec"re,este"ltimomodi/icadoconel prop3sitodemejoraresta v"lnera.ilidad de red1 https esta modi/icado para c"idar lase"ridad de otro protocolo ssl, ecure ockets Layer !capade conexi"n segura#,son protocolos criptor0/icos -"eproporcionan com"nicaciones.Transport Layer ecurity!$%&'# recuperado de(https())es.wikipedia.org)wiki)Transport_Layer_ecurity +nel ata-"eMiTMm0sha.it"al1 se"tili!a"nro"ter6i9ipara interceptar las com"nicaciones del "s"ario. +sto se p"edereali!ar con/i"randoel ro"ter maliciosopara -"e pare!cale:timooatacando"nerror del mismoeinterceptandolasesi3ndel "s"ario. +nel primerodeloscasos1 el atancantecon/i"ra s" ordenador " otro dispositivo para -"e act8e comored 6i9i1 nom.r0ndolo como si /"era "na red p8.lica )de "naerop"erto o "na ca/eter:a,. &esp"7s1 el "s"ario se conecta al;ro"ter< y ."sca p0inas de .anca o compras online1capt"randoel criminal las credenciales de la v:ctima para"sarlas posteriormente. +nel se"ndocaso1 "ndelinc"enteenc"entra "na v"lnera.ilidad en la con/i"raci3n del sistemade ci/rado de "n 6i9i le:timo y la "tili!a para interceptar lascom"nicaciones entre el "s"ario y el ro"ter. =ste es el m7todom0s complejo de los dos1 pero tam.i7n el m0s e/ectivo> ya -"eel atacantetieneaccesocontin"oal ro"ter d"rantehorasod:as. Adem0s1 p"ede h"smear en las sesiones de /ormasilenciosa sin -"e la v:ctima sea consciente de nada.?1@man in the midle"sa tam.i7n "n m7todo conocido como arpspoo/inel c"al consisteenalterar las direcciones ipylata.las de r"tas.slstripAA5 Atrip consiste en hacer creer al "s"ario -"e est0 .ajo "nacone2i3n se"ra1 ya sea por-"e el "s"ario ve "n candadito -"eindica se"ridad1 sslstrip p"ede /alsi/icarlo1 o por -"e el"s"ario no se /ija si est0 .ajo tr0/ico ci/rado o no.*+, poofing+l principio o m7todo del A$P Apoo/in consiste en enviarmensajesA$P/alsos)spoo/ed,ala+thernet. #ormalmentecon la /inalidad deasociar la direcci3n MA( del atacante conladirecci3nIPdeotronodo)el nodoatacado,1 comoporejemplo la p"erta de enlace predeterminada )ate4ay,.("al-"ier tr0/ico diriido a la direcci3n IP de ese nodo1 ser0err3neamente enviado al atacante1 en l"ar des" destino real.+l atacante1 p"ede entonces eleir1 entre reenviar el tr0/ico a lap"erta de enlace predeterminada real )ata-"e pasivo oesc"cha,1 omodi/icarlosdatosantesdereenviarlos)ata-"eactivo,. +l atacantep"edeincl"solan!ar "nata-"edetipo&oA )&eneaci3n de Aervicio, contra "na v:ctima1 asociando"na direcci3n MA( ine2istente con la direcci3n IP de la p"ertade enlace predeterminada de la v:ctima. ?1@Mediante el ata-"e reali!ado por las ta.las A$Pspoo/ sein"nda n"estra red indicando las direccionesmac asociadascon las direcciones IP de la o las v:ctimas1 del mismo modo sem"estratam.i7nlas direcci3nIPrelacionadaconel ro"terparahacer"sodes"p"ertadeenlace. &eestamaneraalmomento de act"ali!ar la ta.la de r"tas ser0 transparente estain/ormaci3n maliciosa as: c"ando la v:ctima env:a pa-"etes atrav7s de la red mediante el ro"ter esta se estar0redireccionandoalama-"inaatacanteycomolama-"inaatacante tiene a s"alcance las direcciones Mac reales sereali!a "n redireccionamiento al destinatario verdadero con el/in de -"e el proceso sea transparente para la v:ctima.Para ejec"tar A$P spoo/in y modi/icar el enr"tamiento de lospa-"etes en Bali 5in"2 se "san los si"ientes comandos1 lo -"ehace cada comando en n"estro len"aje es lo si"iente. +l si"ientecomandoledir0lap"ertadeentradaCyosoy19D.1EF.4.114ClaipdBali1 yenlasi"ienteordenledice19D.1EF.G.114 CHo soy la p"erta de entradaC - udo arpspoof &.$.&/0.%.&%% 1t &.$.&/0.%.&- udo arpspoof &.$.&/0.%.& 1t &.$.&/0.%.&%% (on esto1 todo el tr0/ico -"e se s"pone -"e ir a la p"erta deentrada de la m0-"ina1 y al rev7s1 pasar0 a trav7s de n"estram0-"ina primero1 y s3lo entonces remitida al verdaderoo.jetivo. (on esto podemos ejec"tar c"al-"ier herramienta dean0lisis de pa-"etes tales como tcpd"mp o 6iresharB.?1@&+AA$$%55% &+5 ATAI'+Para la sim"laci3n del ata-"e se "sa "na ma-"ina con6indo4s J)victima,1 y"nama-"inavirt"al deBali lin"2)Atacante,H "na ma-"ina atacante con Bali lin"2+l primer paso es poner en red a la ma-"ina de Bali para estop"ede ser "sada "na ip p".lica o "na privada. Para ase"rarse de -"e el tr0/ico se reenv:a al destinoreal como llear a n"estra m0-"ina1 de.en ejec"tar elsi"iente comando 1 cat )proc)sys)net)ip23)ip_forward%Ai el valor dev"elto es cero es necesario cam.iarlo a uno,mediate el comando 1 echo & 44)proc)sys)net)ip23)ip_forward +l si"iente comando nos ay"da a reali!ar "n scan de las ipsactivas en la red /pin Ka K ipInicial Ip9inal hostsC L hots fping 5a 5g &.$.&/0.&.& &.$.&/0.&.& 4 hots19D 1EF.1.1 ip incial para el scan 19D 1EF.1.1GG ip /inal para el scan K 1a reali!a el scan K 1greali!a "n listado de de las ip /ijas de "n ranodeterminado K 4hotsnos indica el nom.re del archivo en -"e se"ardar0 el listado scaneado Para vis"ali!ar los archivo con las ips scaneadasejec"tamos el si"iente comando 6edit hots Accedemos como root o s"per "s"ario udo 5s7+jec"tamos el comando arspoo/ arpspoof 5i eth% 5t &.$.&/0.3.&%& &.$.&/0.3.&A.rimos otroterminal yconel si"iente comandolo-"eharemos es redireccionar el tra/ico arpspoo/ sudo iptables 1t nat 1*,+8+9:TI;61p tcp11destination1port 0% 1< +8=I+8>T 11to1ports0%0%Inresamos el comnado de sslstrip -"e hace crear "naparariencia de sitio 4e. se"ro. sslstrip 1w cap 1l 0%0% H /inalmente inresamos tail 5f cap (%#(5'AI%#+A Man in the middle es "n tipo de ata-"e in/ormatico -"epermitemanip"lar in/ormaci3nparaciertos tipos dep0inas con protocolo http1 mas no para protocolohttps1 ya este protocolo /"e Mitm es "n m3d"lo principalmente para la 4e. el c"alp"ede ser ejec"tado mediante 4e.sploit +l ata-"e es 8til para todo tr0/ico -"e pasa por el ro"teres decir tam.i7n1 para enr"tamientos en la red 5A# Man in the middle p"edes ser reali!ado por losdi/erentes mod"los -"e o/rece Bali como 4e.sploit1 elc"al es necesario carar mitm sin em.aro es necesariorecalcar -"e este m7todo est0 -"edando en desh"so ya-"e est0 orientado para la 4e. http y no para https.III. BIB5I%G$A9MA?1@ NAAP+$ATNH1 OP-"e es "n ata-"e manKinKtheKmiddleQ1RGJ DG1S. ?+n l:nea@. Availa.leThttpsTUU.lo.BaspersBy.com.m2U-"eKesK"nKata-"eKmanKinKtheKmiddleU4E9U.?D@ 4iBipedia1 OA$P spoo/in1R D4 1D DG14. ?+n l:nea@.Availa.leT httpsTUUes.4iBipedia.orU4iBiUA$PVApoo/in.?Wltimo accesoT GE GJ DG1X@.?S@ Anonimo 1 O*o4 to sni// net4orB tra//ic in 5in"21R ?+nl:nea@. Availa.leThttpsTUUdocs.oseems.comUeneralUoperatinsystemUlin"2Usni//Knet4orBKtra//ic. ?Wltimo accesoT GE GJ DG1X@.