Para este laboratorio de prueba de ARP Poisoning, contamos con los programas:
- Cain&Abel
- Wireshark
- VMware
Asimismo, la topologia de trabajo para este laboratorio es la siguiente:
En este laboratorio hacemos uso de VMware para virtualizar las PCs con Windows XP y 7. El objetivo principal es poder utilizar la PC Windows 7 para envenenar las tablar ARP de las PCs con Windows 10 y XP, de tal forma que podamos capturar el trafico de red que intercambian por medio del programa Wireshark.
A continuación se presentan la información de red de las PCs:
IMAGEN 1: Topologia de red utilizada
En este laboratorio hacemos uso de VMware para virtualizar las PCs con Windows XP y 7. El objetivo principal es poder utilizar la PC Windows 7 para envenenar las tablar ARP de las PCs con Windows 10 y XP, de tal forma que podamos capturar el trafico de red que intercambian por medio del programa Wireshark.
A continuación se presentan la información de red de las PCs:
IMAGEN 2: Ipconfig/all en PC Windows 10
IMAGEN 3: Ipconfig/all en PC Windows XP
IMAGEN 4: Ipconfig/all en PC Windows 7
Como se puede apreciar en las imágenes 2, 3 y 4, todas las PCs están dentro del mismo segmento de red 192.168.115.0/24.
A continuación se presentan las tablas ARP de la PC de Windws 10, antes de iniciar el proceso de envenenamiento, la cual sera la victima en este laboratorio:
IMAGEN 5: Arp -a en PC Windows 10 antes del envenenamiento
Seguidamente nos dirigimos a la PC Windows 7 e inicializamos nuestro programa Cain&Abel. La configuración del programa para realizar este ataque es bastante sencilla, se debe iniciar el Sniffer del programa para luego proceder a la selección de hosts a atacar, para realizar esto se deben seguir los siguientes pasos:
- Hacemos click en el botón que tiene forma de una interfaz de red y seleccionar la interfaz donde realizaremos el ataque.
- Click ok para activar el sniffer
- Ubicados en la pestaña Sniffer, hacemos click en el botón (+) para generar una tabla con los hosts encontrados
- Hacemos click en la pestaña ARP, la cual está ubicada en el fondo de la pantalla
- En esta nueva ventana, hacemos click en el botón (+) para que aparezca una ventana de selección de hosts.
- Del lado izquierdo, veremos los hosts de la red, hacemos click en el host que quieras espiar (PC Windows 10 - 192.168.115.100). Una vez realizado esto, en la lista del lado derecho, aparecerá la lista de hosts de la red sin el host que seleccionamos.
- En la lista de lado derecho, seleccionamos la IP de host de destino (PC Windows XP - 192.168.115.50) y presionamos OK.
- Para finalizar el proceso, debemos hacer click en el botón de símbolo nuclear en la barra de herramientas. Esto activará la función de ARP Poisoning del programa.
Es importante destacar que este tipo de acciones corresponden a un ataque de "Hombre en el Medio" o MITM "Man In The Middle" por lo que este tipo de practicas se recomiendan para casos relacionados con seguridad de la información o auditoria de sistemas, y no se apoya el uso de estos conocimientos para fines antiéticos.
IMAGEN 6: Cain&Abel en proceso de envenenamiento ARP
Una vez realizado el proceso anterior, la PC Windows 7, recibirá todo el trafico que curse entre las PCs con Windows XP y Windows 10, gracias al envenenamiento ARP. Por lo que se procede a utilizar el programa Wireshark para capturar el trafico de la red. En la siguiente imagen podemos apreciar un extracto de la captura de trafico ICMP (Ping).
IMAGEN 7: Captura de trafico ICMP entre PCs Windows XP y 10 en PC atacante
Finalmente, se presenta la tabla ARP en la PC Windows 10 envenenada, observe que ahora las direcciones IP 192.168.115.50 (PC con Windows XP) y 192.168.115.130 (PC con Windows 7) ahora poseen la misma dirección MAC (00-0c-29-f1-4f-71).
IMAGEN 8: Arp -a en PC Windows 10 después del envenenamiento
Espero que esta información pueda serte útil
¡Éxitos!
Referencia: Practical Packet Analysis: Using wireshark to solve real-world network problems - Chris Sanders, 2007.
No hay comentarios:
Publicar un comentario