[HACK] Detección de IPS

Francisco Sáa Muñoz aka n3z fsm at aesthechnics.com
Tue Oct 5 17:12:35 CEST 2004 

Jcea: Debido a un error mío al responder a Sergi, hemos intercambiado una serie
de mails que creo que deberían aparecer en la lista, para "debugging purposes"
;)

Gracias y perdona las molestias:

--
Quoting Sergi Rosello <sergi_75 at yahoo.es>:

> No he usado nunca estas otras ip. Haciendo pings a esa
> s direcciones no obtengo respuesta.
> Todas las ni idea tienen la misma dirección MAC que el
> router. Tambien pone
> your ip 172.16.0.5 direccionmac iface dev1 Link : HUB

Eso puede ser producto del bombardeo de ARP que envía el ettercap, el router
sume que esas IPs son suyas y responde a ellas. Debes tener en cuenta que los
sniffers para redes conmutadas dan problemas debido al ARP Pooisoning. Por lo
que has comentado no necesitas eso.
Mira las opciones del programa antes de lanzarlo.

¿Lo has hecho en PassiveOS detect? ¿Que opciones has usado?

En este punto, desconozco la versión que usas, si es NG o la "deprecated".
¿Podrías dar un poco más de información, sobre todo referente al router y la
versión?

Ideas:

- Cambia la máscara de red, limitala a una clase C, p. e. 192.168.0.0/24 o
Cambia las IPs, comprueba que sigue pasando lo mismo, es decir si siguen
apareciendo las mismas ips.

- Lee la documentación de ettercap, la FAQ y demás que viene en la web de
sourceforge, suele haber problemas parecidos.

Espero que sirva de ayuda.

--
]-* Francisco Sáa Muñoz a.k.a. Nuno Treez
Security Junkee since 1996 / Linux User #119288 / mame.dk #115087
Utinam barbari spatium proprium tuum invadant!
*-[EOF]

--- Francisco Sáa Muñoz aka n3z
<fsm at aesthechnics.com> escribió:
> Quoting Sergi Rosello <sergi_75 at yahoo.es>:
>
> > No he usado nunca estas otras ip. Haciendo pings a
> esa
> > s direcciones no obtengo respuesta.
> > Todas las ni idea tienen la misma dirección MAC
> que el
> > router. Tambien pone
> > your ip 172.16.0.5 direccionmac iface dev1 Link :
> HUB
>
> Eso puede ser producto del bombardeo de ARP que
> envía el ettercap, el router
> sume que esas IPs son suyas y responde a ellas.
> Debes tener en cuenta que los
> sniffers para redes conmutadas dan problemas debido
> al ARP Pooisoning. Por lo
> que has comentado no necesitas eso.
> Mira las opciones del programa antes de lanzarlo.
>
> ¿Lo has hecho en PassiveOS detect? ¿Que opciones has
> usado?

He intentado el hacerle OS detect a las maquinas, pero
no detectaba nada, aunque mi OS tampoco lo detectó.

> En este punto, desconozco la versión que usas, si es
> NG o la "deprecated".

Estoy corriendolo en windows, la version que tengo es
ettercap-0.6.b-installer-NT2KXP (no se si es NG o
deprecated)

> ¿Podrías dar un poco más de información, sobre todo
> referente al router y la
> versión?

Zyxel prestige 643

> Ideas:
>
> - Cambia la máscara de red, limitala a una clase C,
> p. e. 192.168.0.0/24 o
> Cambia las IPs, comprueba que sigue pasando lo
> mismo, es decir si siguen
> apareciendo las mismas ips.
>

¿ esto debo hacerlo en el router? ... creo que se
donde, en la configuración de la ip publica del router
¿no?

> - Lee la documentación de ettercap, la FAQ y demás
> que viene en la web de
> sourceforge, suele haber problemas parecidos.
>
> Espero que sirva de ayuda.

Por supuesto que me ayuda. Estoy muy agradecido.

¿Podría alguien desde fuera conectarse al router, sin
conectarse a mi ordenador( sin aparecer en mis
netstat) y obtener una ip de mi rango privado, para
despues moverse por internet con mi ip publica?

He escaneado con otros programas toda la red
172.16.0.0 - 172.16.255.255 y no he encontrado nada a
parte de mi ordenador y el router





______________________________________________
Renovamos el Correo Yahoo!: ¡100 MB GRATIS!
Nuevos servicios, más seguridad
http://correo.yahoo.es


Quoting Sergi Rosello <sergi_75 at yahoo.es>:

>  --- Francisco Sáa Muñoz aka n3z
> He intentado el hacerle OS detect a las maquinas, pero
> no detectaba nada, aunque mi OS tampoco lo detectó.

El proceso de detección de OS se basa en el análisis del tráfico de la red.
Debes mantener comunicación entre los equipos y esperar. "Pasivo" puedes
cambiarlo por "Paciente" ;)

> Estoy corriendolo en windows, la version que tengo es
> ettercap-0.6.b-installer-NT2KXP (no se si es NG o
> deprecated)
>

Deprecated, de hecho, lo suponía porque la NG no está compilada para Windows. ;)
Te recomendaría que te dieras una vuelta por www.cygwin.com y con una pata de
conejo intentases compilar la última estable.

> > ¿Podrías dar un poco más de información, sobre todo
> > referente al router y la
> > versión?
>
> Zyxel prestige 643

Te juego unas cervezas a que es el ARP Poisoning. Cambia la configuración de
Intranet a otra que quieras y seguro que sale otra cosa. Una de las
carcaterísticas que he visto gracias a San Google es que es un "ADSL Router
with 4-port Ethernet Switch".

Mi teoría: El ARP poisoning ha hecho que el switch que lleva incorporado ese
"trasto" ha hecho "suyas" las IPs. ¿Porqué? Pues porque las ha recibido con su
MAC y en medio de todo este jaleo, se ha hecho un lío. (Hipótesis recreativa)

Me baso en esto:

"Bridging
- IEEE 802.1d transparent bridging
Up to 128 MAC learning addresses "

Está diseñado con pocas MACs porque está pensado para aDSL y no otros protocolos
de trasnporte más grandes.

> ¿ esto debo hacerlo en el router? ... creo que se
> donde, en la configuración de la ip publica del router
> ¿no?

Uhm, en teoría, no en el PPPoE:

Para que te hagas una idea esto debería ser algo asi:

    INTERNET
        |
 ---------------
|   MODEM ADSL  | <- interfaz pppoe (Esta parte no la deberías tocar)
 ---------------
|  ROUTER       | <- Hardware propio del router
 ---------------
|  SWITCH       | <- interfaz ethernet para la red interna
 ---------------
         |
    INTRANET

Es en la pata interna dónde debes hacerlo, o te quedarás sin conexión.

> Por supuesto que me ayuda. Estoy muy agradecido.

De nada. Un consejo, léete la documentación del software que uses, para evitarte
estos jaleos. O complicaciones porque le das cera a quien no debes, esas cosas
pasan. ;)

>
> ¿Podría alguien desde fuera conectarse al router, sin
> conectarse a mi ordenador( sin aparecer en mis
> netstat) y obtener una ip de mi rango privado, para
> despues moverse por internet con mi ip publica?

Sí, claro, pero para eso deberían poder acceder al interfaz de administración ó
utilizar cosas del estilo del IRPAS (http://www.phenoelit.de/irpas/index.html).
Parece que sería matar moscas a cañonazos, pero no creo que sea eso, más que
nada porque esa herramienta está orientada a CISCO, no a un Zyxel.
Otra posibilidad, SNMP, soportado también.

Lo mejor que puedes hacer es leerte las especificaciones y cerrar todo y usar
sólo lo que necesites.

> He escaneado con otros programas toda la red
> 172.16.0.0 - 172.16.255.255 y no he encontrado nada a
> parte de mi ordenador y el router

Prueba también Cain & Abel (www.oxid.it)

--
]-* Francisco Sáa Muñoz a.k.a. Nuno Treez
Security Junkee since 1996 / Linux User #119288 / mame.dk #115087
Utinam barbari spatium proprium tuum invadant!
*-[EOF]

More information about the hacking mailing list