IMPORTANT: Per accedir als fitxer de subversion: http://acacha.org/svn (sense password). Poc a poc s'aniran migrant els enllaços. Encara però funciona el subversion de la farga però no se sap fins quan... (usuari: prova i la paraula de pas 123456)

Packet Sniffers

  • Definició: És un programari o sistema de maquinari que pot interceptar i enregistrar el trànsit que circula per un segment de xarxa.
  • També coneguts com a anlitzadors de xarxa.

Utilitats

  • Monitoritzar l'ús de la xarxa i/o realitzar estadístiques.
  • Analitzar problemes de xarxa.
  • Detectar intrusions a la xarxa.
  • Espiar la xarxa i obtenir informació sensible (contrasenyes, documents secrets, etc.)
  • Enginyeria inversa de protocols.(tractar d'averiguar com funcionen certs protocols que no estan oberts)
  • Depurar aplicacions.

Mode promiscu

  • Definició:La taja es relaciona amb més parelles.
  • El switch(commutador) impedeix que es pugui snifar paquets.
  • Un switch té una tipologia física estrella.
  • La tipologia bus s'utilitza a les connexions wifi.
  • Per saber si tenim el mode promiscu activat el ifconfig ho diu:
sudo ifconfig eth0
[email protected]:~$ sudo ifconfig eth0
  
eth0      Link encap:Ethernet  direcciónHW 44:87:fc:94:03:e5  
          Direc. inet:192.168.202.111  Difus.:192.168.202.255  Másc:255.255.255.0
          Dirección inet6: fe80::4687:fcff:fe94:3e5/64 Alcance:Enlace
          ACTIVO DIFUSIÓN FUNCIONANDO PROMISCUO MULTICAST  MTU:1500  Métrica:1
          Paquetes RX:30086 errores:0 perdidos:0 overruns:0 frame:0

NOTA: Per activar-lo, amb la comanda sudo ifconfig eth0 promisc

  • Altra comanda que dóna informació és:
sudo ip link show
[email protected]:~$ sudo ip link show
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN 
   link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
2: eth0: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 1000
   link/ether 44:87:fc:94:03:e5 brd ff:ff:ff:ff:ff:ff

Ethernet

  • Nivell 1 TCP/IP(Nivell físic 1 i d'enllaç 2 a OSI)
  • familia d'estàndards IEEE 802:
  • 802: Capa LLC(Logical Link Control).Interfície comuna entre el nivell de xarxa i la família de protocols.
  • La resta de protocols defineixen el ni vell físic i el subnivell MAC
  • 802.3 Ethernet
  • 802.4 Token Ring
  • 802.11 WIFI
  • 802.15 Bluetooth
  • Nivell LLC (Logical Link control). Compartit per tots els protocols de la família.
  • Lògica de reenviaments
  • Control de flux
  • Comprovació d'errors
  • Nivell MAC (Medium Acces Control). Control d'accés a medi compartits (cables en bus, ràdio, etc.)
  • No utilitzat en protocols punt a punt (no hi ha medi compartit)
  • Adreça MAC: sistema adreçament de nivell 2 equivalent a les adreces IP al nivell 3.

Nivell MAc

  • Segments de xarxa
  • És una porció de xarxa separada de la resta per un dispositiu de xarxa com:

• Repetidor • Bridge o Switch • Router

  • Domini de col·lisió
  • És un segment lògic de xarxa on els paquets poden col·lisionar al ser enviats a un medi compartit.
  • Trama Ethernet
  • Origen:Adreça MAC origen de la trama
  • Destí: Adreça MAC destinació de la trama
  • Tipus: EtherType. Tipus d'Ethernet.
  • Dades:
  • CRC Checksum: Control d'Errors

Switched LAN. Hubs i Switchs

  • Les LANs connectades a switchs o HUBS tenen una topologia física d'estrella.
  • Topologia lògica:
  • HUB (Concentrador): mateix segment de xarxa (bus compartit). Treballa a nivell físic (mecànic). Dispositiu “tonto”
  • Switch (Commutador): s'utilitza una base de dades per recordar les MACs (IPs) de cada port i es connecta de forma directa als ports d'origen i estinació d'una comunicació. Treballa a nivell d'enllaç (taula de MACS). Dispositiu intel·ligent.

TCPDUMP

  • Eina de línia de comandes que permet visualitzar el tràfic de xarxa (Packet Sniffer)
  • Hi ha un “port” per a Windows (WinDump) basat en Wincap (port de libcap)
  • Cal ser superusuari (root) per utilitzar tcpdump (sudo). Activa automàticament el mode promiscu.
$ sudo tcpdump -i eth0
  • Per filtrar els paquet icmp:
sudo tcpdump -i eth0 icmp
  • Per saber la IP
sudo tcpdump -ni eth0 icmp
  • Interficie lo
sudo tcpdump -ni lo icmp
  • Per snifar una connexió telnet d'una màquina.
sudo tcpdump -ni eth0 -X port 23

Protocol ARP

  • ARP és un protocol a cavall entre el nivell de xarxa i el nivell d'enllaç (MAC)
  • Permet resoldre adreces MAC a partir d'adreces IP.
  • S'utilitza en xarxes LAN (nivell 2) per poder treballar amb adreces IP (nivell 3)
  • El protocol Ethernet s'encarrega de la capa fisica i d'enllaç.

Faustomendoza1protoARP.png

  • El protocol ARP s'encarrega de relacionar una IP amb una MAC.
  • Per saber les MAC's de les màquines a les que ens hem connectat utilitzarem la següent comanda.
$ sudo arp -n
  • Quan es fa un ping per primera vegada, la primera resposta tardarà bastant es respondre ja que ha d'averiguar la MAC del destí.
  • El windows i linux no responen els icmp broadcast per qüestions de seguretat.
  • En ubuntu per contestar els ping's broadcast s'ha de fer la següent comanda.
$ sudo bash -c "echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts"
  • Altra forma de capturar les MAC's de totes les xarxes és utilitzar la comanda nmap
$ nmap 192.168.202.1-255

Exercici ARP

El pc destí utilitzarà la següent comanda per snifar els paquets de la seua tarja de xarxa

$ sudo tcpdump -n -i eth0  arp and host 192.168.202.111

Llavors el pc origen farà un ping i el resultat del ping del pc destí serà el següent:

Faustomendoza1ARPwhois.png

Opcions avançades de tcpdump

  • -e mostra les adreces MAC (nivell 2) en comptes de les IP
  • -n (numeric) No intenta fer resolució de noms
  • -q sortida reduïda
  • -i escollir la interfície de xarxa
$ sudo tcpdump -ennqti eth0 \( arp or icmp \)


ARP Spoofing(farsa arp)

  • És un atac empleat en xarxes Ethernet que permet a un atacant interpretar trames d'una xarxa LAN.
  • L'atacant pot fer tres tipus d'atac:
  • Atac passiu: les trames interceptades no són modificades i s'envien als corresponents receptors.
  • Atac actiu: Pot modificar les trames injectant dades.
  • Aturar el tràfic: Atac de denegació de servei.
  • És necessari executar l'atac des d'una màquina de dins la xarxa Ethernet i les màquines queque es poden atacar han de pertànyer al mateix segment de xarxa.
  • ARP Spoofing a la wikipedia
  • Spoofing a la wikipedia
  • Com funciona?
  • Enviant missatges AR falsos (fake frames).
  • S'envia un arp-reply fals associant la MAC de l'atacat a la IP de l'atacant. Els paquets s'envien a l'atacant en comptes de l'atacat.
  • L'atacant pot escollir entre ser passiu (un cop llegides les trames les reenvia a l'atacat) o actiu (injectar o modificar dades bans de reenviar – Man in the Middle)
  • DoS atack (Deny of Service): S'assigna una IP no existent a la MAC de l'atacat o al seu gateway per defecte.

Exercici Backtrack

  • Crearen una màquina virtual per a inciar el live del backtrack.
  • Utilitzarem el backtrack 4.
  • Ens posarem a escoltar amb el wireshark els paquets arp des de la màquina victima, per veure els WHO-HAS que envia el ettercap a totes les ip del rang de la xarxa.

Faustomendoza1EscoltarBacktrack.png

Faustomendoza1ifconfigbacktrack.png

  • A continuació seleccionarem des de l'ettercap la tarja de xarxa de les victimes a les quals snifarem els paquets, en aquest cas les ip's 192.168.202.110 i 192.168.202.111.

Faustomendoza1afegirIPs.png

  • Anem a Mitm i seleccionem ARP poisoning...

Faustomendoza1backtrack2.png

  • Sortirà una finestra a on habilitem l'opció Sniff remote connections.

Faustomendoza1backtrack3.png

  • Ara si fem un telnet des d'una màquina a l'altra i ens validem apareixerà a la part inferior de la finestra l'usuari i la paraula de pas.

Faustomendoza1backtrack4.png

  • A continuació si fem un $ arp -n veurem que ha canviat la MAC de l'altre pc, i el mateix haurà passat amb l'altre.
  • Victima 1
Faustomendoza1backtrack5.png
  • Victima 2
Marcgrau-BackTrack3.png