miércoles, 12 de febrero de 2014

Detectar y bloquear ataques MITM

Hoy probando la app Intercepter-ng en Android en el laboratorio de mi red wifi tenia muchos problemas de conexion por parte de mi victima.

Así que con el lio que tenia, he llegado a la conclusión ¿Y como me libero del ataque MITM? Pues ahora lo desglosaremos desde 0.


¿Como se si estoy siendo victima de un MITM?
La respuesta es muy simple esta metodología de ataque se basa en ponerse en medio de la conexión, en este caso entre el PC y el router, así que haciendo un tracert en Windows se puede saber por donde va mi trafico. Abrimos en cmd y escribimos tracert <url>

tracert
Podemos ver claramente que el primer salto lo da a 192.168.1.39 (ip del atacante).


Asi que miraremos la tabla ARP haber si a sido por culpa de un "arp spoofing", que lo que hace es cuando la victima dice: ¿Quien es el gateway?, el atacante dice: "Soy yo", y lo mete en su tabla arp, con lo que TODO el trafico de esa victima pasara por el atacante.

*Las tablas Arp podemos imaginarlas como un listin telefónico, que debera estar escuchando peticiones, por si hubiera nuevos equipos en la red para poderse comunicar con X equipo cuando se necesite.


Para consultar las tablas ARP hacemos: arp -a
arp -a
192.168.1.1  y 192.168.1.39 es la misma MAC.


Lo primero que haremos es limpiar la tabla ARP, para que vuelva a construirla. netsh interface IP delete arpchache  y la volvemos a consultar con arp -a
img_netsh arp


Este método nos valdrá cuando el atacante ya se ha ido de nuestra red, si no nos volvera a envenenar.

Asi que lo tenemos que dejar sin conexion como sea, si como sea. Las opciones mas viables son:
1º Desactivar la wifi y volver a hacer el paso anterior.
2º Acceder a la ip del router y añadirlo en bloqueo por ip o MAC.
3º Usar aplicaciones que detecten cambios en la cache ARP.


Yo usare el metodo 3, específicamente instalare 2 obras maestras que son Patriot-NG de Security-Projects y Marmita de Informatica-64

Ahora cuando vuelvo a poner Intercepter a envenenar, saltaron los dos programas.
img patriot marmita


Lo que demuestra que estaremos protegidos ante estos ataques, Marmita a decir verdad me ha impresionado y es que aporta una gran funcionalidad en cuanto a tener un historial, configuración de tarjetas, Informacion de las tablas y muchas otras.

Saludos guerreros!!

6 comentarios:

  1. Gracias por el aporte, ahora a ponerlo en practica

    ResponderEliminar
  2. Ahora tengo que investigar sobre como hacerlo para redes publicas con smartphones. Si alguno sabe algún programa que lo comparta ;)

    ResponderEliminar
  3. por ahora tapar con cinta negra los micrfonos y la cam del móvil , comento que a mi me aracaban y la hacker sabia todo, era por eso ,atacaba mi modem , puedo cambiar la compañía , pero con mi mobil aun me conecto a las redes sociales , las cuales debere eliminar para no dejar ningún rastro cuendo entre con la nueva ip y mac del modem nuevo

    ResponderEliminar
  4. @xixmon pues lo que debes hacer es proteger el router / modem para que no entre, hechale un vistazo a esto, y protege bien para que no te ataquen y no te roben informacion. http://mznlabsec.blogspot.com.es/2014/02/mi-primer-cuaderno.html

    Saludos!!

    ResponderEliminar
  5. Hola, gracias por el post, sirvió bastante, pero tengo una duda: hace varios días que mi conexion anda bastante "rara", ping alto, muchos paquetes perdidos,etc. Y empecé a sospechar si estoy sufriendo algún MiTM, o algo por el estilo.
    Cuando hago un tracert, en vez de aparecerme algún ip, en varios altos me salta como "Tiempo de espera agotado para la solicitud" ¿Tendrá algo que ver con este tipo de ataques??

    Veo que el post es un poco viejo y probablemente no me contestes, pero no pierdo nada con probar jaja

    Dejo un screen por si sirve de ayuda: http://fotos.subefotos.com/bbdd0b95d230931f803b93840cf8bb71o.jpg

    ResponderEliminar
  6. Este comentario ha sido eliminado por el autor.

    ResponderEliminar