Dudillas con Spoofing

[welvis30]

he estado leyendo sobre el spoofing, y tengo algunas dudillas, no me he aclarado mucho con la comunicación basada en ordenes, y la comunicación basada en dialogo, que tipo de servidores o sistemas usan cada cosa? cuando dice dialogo, se refiere a TCP, pero que tipo de dialogo?.

Si PC3 hace spoofing entre PC1 y PC2, y establece una conexion con PC2 x ej, y PC1 solicita al PC2, y a PC2 no le cuadran las cosas, que pasa con PC3???

Voy a parar que ya me duele la cabeza jejeje, bueno a ver si alguien me aclara un poco las cosas.

.-Saludos-.

[Malenko]

Eso de situarse entre PC1 y PC2 no es MITM? Spoofing CREO que es falsificar "algo", no interceptarlo, pero vamos, que también puede ser que este metiendo la pata hasta el fondo. Yo primero le hechaba un vistazo a esto:

http://es.wikipedia.org/wiki/Spoofing

[welvis30]

si si, pero para engañar necesito primero comunicarme con el PC que quiero engañar, le tendré que decir oye abre la puerta que soy tu amigo.

[clarinetista]

Tu ensamblas una trama falseando tu Ip origen, haceindole creer que eres su amigo.
Si no le cuadran las cosas como tu comentas, PC2, descartara la trama que le llegue.
por otra parte, la principal diferencia con el MITM, es que en este ultimo ninguno de los dos save que ha sido vulnerado, como su propio nombre indica es como "un espejo"

[j8k6f4v9j]

Así es En teoría no se sabe, aunque en realidad depende del spoofing del que se trate.

Por ejemplo en el ARP spoofing un simple ping puede delatarnos.

Pero bueno, al caso. Efectivamente para hacer un man in the middle hay que suplantar a ambos extremos de la comunicación. En realidad es un doble spoofing más un enrrutamiento. Aunque lo más normal es usar también técnicas de sniffing que es el fin al que generalmente se pretende llegar.

El ejemplo se hace un poco lioso si sólo describimos máquinas, por eso añado IPs y MAC para expllicar el ARP spoofing.

Teniendo en una LAN:
PC1__192.168.1.1__00:00:00:00:00:11
PC2__192.168.1.2__00:00:00:00:00:22
PC3__192.168.1.3__00:00:00:00:00:33

Cuando mediante difusión de ARPs decimos que la IP 192.168.1.3 se corresponde con la dirección MAC 00:00:00:00:00:22, todos los paquetes que vayan en principio hacia PC3 acabarán "en manos" de PC2.

Lo mismo ocurrirá con los paquetes destinados a PC1 si lo hacemos con su IP.

¿Entonces? ¿Todos los paquetes de la red acaban en PC2?

Sí

Ahí acaba el ARP spoofing. No hay mucho más

Y empieza el mitm.

Ahora PC2 debe redireccionar cada uno de esos paquetes a su destino original. Claro que por el camino ha podido olerlos, manosearlos, modelarlos, roto, etc. Cualquier firewall que se precie (firewalls de verdad, no las basurillas comerciales que siempre ando escuchando ), como por ejemplo iptables o packet filter puede hacer NAT de modo que todo acabe, como dijimos antes en su sitio. Nadie se hace un lío simplemente porque PC2 se ocupa de todo.

Salu2

[welvis30]

uiiii bueeeeno pues nada, mirare aver otras técnicas más faciles que estas aún se me traban un poco xDDD, quiero ir aprendiendo técnicas sencillas e ir subiendo escalones, pero quiero ir probandolas al mismo tiempo.

Gracias por las respuestas

[clarinetista]

jeje es que has ido a coger una tecnicas bastante complicadas
Pero bueno, si te ha quedao mas o menos claro iras poco a poco avanzando
Un saludo

[Malenko]

Bueno, lo importante es que la idea del mitm ha quedado muy claro (chapó por la explicación), pero ya implementarla no creo que lo sea tanto xD Supongo que PC2 cuando devuelva las tiene que modificar para indicar a donde han de ir realmente, no? Sino como? Porque si cuando iban dirigidas a PC1 y PC3 se le han redireccionado, tiene que enviarlas de alguna manera para que no las vuelva a recibir (por socket directamente?:S )

[j8k6f4v9j]

Bueno, lo importante es que la idea del mitm ha quedado muy claro (chapó por la explicación)

gracias, no lo es tanto

Pego el esquemita en ascii que incluye el ettercap:

Código:

     HOST 1  - - - - - - - - - - - - - - - - - - - -> HOST 2
   (poisoned)                                      (poisoned)
       |                                               ^
       |                                               |
        ------------> ATTACKER HOST  ------------------
                      ( ettercap )

 Legenda:
             - - - ->   the logic connection
             ------->   the real one

Supongo que PC2 cuando devuelva las tiene que modificar para indicar a donde han de ir realmente, no? Sino como?

Claro, ésa es la función del NAT
http://es.wikipedia.org/wiki/Traducci%C3%B3n_de_direcci%C3%B3n_de_red

Salu2