[HACK] Anti-ettercap
David A. Pérez
kamborio at hotmail.com
Mon Oct 1 22:53:26 CEST 2001
Hola,
> No quiero polemizar sobre el tema
No hay polemica. Un placer leer tus disquisiciones.
> pero si has leido el modo de funcionamiento del dsniff
Valeee, lo confieso. No lo he leido. Prometo hacerlo antes de que acabe la
semana.
> El remedio pasa por bloquear las rutas en todos los clientes, impidiendo
el
> aprendizaje de nuevas rutas por ARP. Alguien sabe cómo hacer esto en Windows?
En
> nuestra red ha sucedido a veces que máquinas Unix han publicado rutas por ARP
> descontroladamente, y prácticamente todos los PCs de la red las aprenden,
perdiendo
> su auténtico dispatcher de red.
Suponiendo que sea posible (mira si soy cabezon que aun lo dudo), no podrias
hacer mucho con solo anunciar que eres el router. Por ejemplo, si consigues
caputar en ese momento un paquete de alguien que esta haciendo un HTTP GET, no
podras ver el contenido de la pagina que esta solicitando, a no ser que tu te
conviertas en un router, cosa que creo muy dificil de hacer. Solo lo comento
para hacer notar que es necesario mandar el ARP envenenado, pero no suficiente.
(Claro que a lo mejor tienes suerte y consigues un HTTP GET como los que se
generaban en la pagina de MARCA Digital y tienes el nombre de usuario y el
password en la URL ;)
La solucion en Windows para evitar este tipo de ataque parece que tiene facil
solucion:
C:\>ARP -s IP_ROUTER MAC_ROUTER
ese comando generaria una entrada estatica en la lista de MAC's que tendria
preferencia sobre cualquier dinamica, es decir, la que aprenderia a traves de un
paquete ARP. Basta meterla en los scripts de inicio de sesion.
Revisando el documento http://www.robertgraham.com/pubs/sniffing-faq.html,
concretamente el punto "3.8 How can I sniff a switched network?", nos
encontramos con las siguientes posibilidades:
3.8.1 Switch Jamming > Imposible si ponemos aseguramos las MAC
3.8.2 ARP Redirect > El caso que estamos mirando
3.8.3 ICMP Redirect > En un switch Cisco la siguiente listas de acceso en todos
los puertos deberia de evitarlo: access-list 120 deny icmp any any redirect
(podriamos acompañar esta lista de un permit si el ICMP procede de la IP del
router)
3.8.4 ICMP Router Advertisements > Como el anterior. La lista de acceso en este
caso deberia de ser: access-list 120 deny icmp any any router-advertisement
(podriamos acompañar esta lista de un permit si el ICMP procede de la IP del
router)
3.8.5 Fake the MAC address of the victim > En este caso nos remitimos a la
solucion del punto 3.8.1
3.8.6 Reconfigure span/monitor port on switch > Como ya dije en el anterior
mensaje, hay que conseguir acceso de administrador al switch. Partiamos de la
premisa de que el router estaba bien configurado (y parcheado, que hay versiones
por ahi de los IOS que dejan hacer de todo)
3.8.7 Cable-taps > Bueno!!! Tambien es que lo queremos todo! ;)
Quedan muchas opciones. Una de ellas, por ejemplo, seria conseguir apagar el
router y cambiar la IP de nuestra maquina por la del router, pero siguen siendo
triquiñuelas que se pueden solventar perfectamente con listas de acceso.
(ademas, el router no deberia de estar bajo llave y conectado a una UPS que
manda un SMS en caso de fallo de la corriente? ;)
Me mirare el dsniff durante el fin de semana y me revisare las opciones del IOS
de los Cisco Catalyst, a ver si puedo sacar algo mas en claro acerca del punto
"3.8.2. ARP Redirect". Se que las ultimas versiones de IOS para routers permiten
crear listas de acceso basandose en el contenido de los paquetes IP, a ver si se
puede hacer algo parecido con las ultimas versiones de los IOS para switches
para paquetes ARP.
Si encuentro algo lo remitire a la lista, y podre volver a mi frase original de
"un switch bien configurado" (cabezon que soy ;)
Salu2,
kamborio
================
David A. Pérez
_ _ _
| | __ __ _ _ __ ___ | |__ ___ _ __ (_) ___
| |/ / / _` || '_ ` _ \ | '_ \ / _ \ | '__|| | / _ \
| < | (_| || | | | | || |_) || (_) || | | || (_) |
|_|\_\ \__,_||_| |_| |_||_.__/ \___/ |_| |_| \___/
El perdón es la venganza de los buenos (anónimo)
More information about the hacking
mailing list