Duda con MITM

[kili4n]

Bueno pues tengo una duda y es que creo que el ataque no llega a tener exito, os explico:

tengo un router (192.168.0.1), un pc (192.168.0.192) y el mio (192.168.0.193) y hago lo siguiente:

arpspoof -i wlan0 -t 192.168.0.1 192.168.0.192

en otra terminal:

arpspoof -i wlan0 -t 192.168.0.192 192.168.0.1


hasta aqui todo bien puedo hacer un dsniff -i wlan0 y dejarlo escuchando al igual que msgsnarf nunca llegan a sniffear nada..

la duda que tengo: para saber si hemos realizado bien el mitm se supone que al hacer un arp -a deberia aparecer ? (192.168.0.1) mimac no? sin embargo aparece la mac del router..a alguien se le ocurre algo o puede decirme en que me equivoco?

Gracias!

[j8k6f4v9j]

El segundo arpspoof no es necesario. No tienes por qué suplantar a *.192, sólo al router, para que todo el tráfico pase por ti.

Debes hacer el primero y configurar el iptables de tu máquina para que sea él quien redirija el tráfico a quien corresponde.


Salu2

[kili4n]

Cierto se me olvido escribirlo utilice este comando:

echo 1 > /proc/sys/net/ipv4/ip_forward

[j8k6f4v9j]

Exacto, con eso habilitas la redirección de paquetes a nivel de kernel.

A partir de ahí ya puedes hacer lo que quieras con el tráfico.
Échale un ojo a esto:
http://sourceforge.net/projects/localwebfaker/

Salu2

Keep on Rollin'

[kili4n]

Sin embargo no logro sniffear nada de nada y se que en el otro pc se esta utilizando el msn y navegando por internet..pero bueno mi duda era que para saber si se ha realizado bien el mitm cuando hago arp -a la MAC del router deberia ser la mia no?

[j8k6f4v9j]

El error está aquí:

En tu escenario en concreto basta con que hagas

Código:

arpspoof 192.168.0.1

La opción -t (target) no se utiliza para especificar el destino original de los paquetes, sino que aquí target quiere decir víctima, es decir, a quien vas a engañar.

Por tanto, para engañar sólo a 192.168.0.192 sería

Código:

arpspoof -t 192.168.0.192 192.168.0.1

Salu2

Keep on Rollin'

[kili4n]

Hago el arpspoof a 192.168.0.1 como tu dices y sigue sin sniffar nada de nada..se supone que debo estar entre los dos canales de comunicacion no? osea la comunicacion que hay entre el router y la pc sniffeada en ambos sentidos por lo tanto debo hacer:

arpspoof -i wlan0 -t 192.168.0.1 192.168.0.192

en otra terminal:

arpspoof -i wlan0 -t 192.168.0.192 192.168.0.1

pero no sniffea nada de nada...no tendra que estar la tarjeta en modo promiscuo verdad? y cuando hago un arp -a que debe aparecer? mi mac en lugar de la del router, o la mac del pc sniffeado y la del router?

Gracias por responder!

[j8k6f4v9j]

No, sólo en un sentido.

Como te decía (aunque obviando el parámetro -i) el comando correcto es

arpspoof -i wlan0 192.168.0.1

Desde el momento en que "engañas" al cliente para hacerle creer que la puerta de enlace eres tú, ya no hay comunicación entre el cliente y el router original, sino que a partir de ese momento tú eres realmente el router. Olvida la opción -t hasta que consigar los paquetes que estás buscando, sólo te está limitando el área de actuación (dirigiendo el ataque a una estación específica, que encima de todo podría no ser la correcta).

Fíjate también en que no tengas reglas de firewall que estén impidiendo la entrada de los paquetes.

Si tienes la posibilidad, convendría monitorizar la red desde una estación externa, durante la realización del flood, para comprobar que efectivamente le llegan las respuestas que tú envías (lo que envías son ARP replies).

En cuanto al modo de la tarjeta, sí, creo que ésta debe estar obligatoriamente en modo promiscuo al no tener asignada ninguna de las direcciones en el sistema.


Salu2

Keep on Rollin'