Resultados 1 al 7 de 7

Tema: Marmita 1.3: Detector de ataques man in the middle

  1. #1 Marmita 1.3: Detector de ataques man in the middle 
    HH Administrator Avatar de LUK
    Fecha de ingreso
    Oct 2001
    Ubicación
    SpaÑa
    Mensajes
    5.050
    Descargas
    181
    Uploads
    247
    Durante el Master de Seguridad de la UEM del curso 2009-2010, uno de los proyectos que propuse fue la realización de un detector de ataques man in the middle, con una aproximación de Host IDS. Daniel Romero e Ignacio Merino presentaron dentro de ese proyecto la aplicación Marmita, y así resumían ellos su proyecto:
    Los ataques Man In The Middle utilizando la técnica de ARP Spoofing son unos de los métodos más utilizados por usuarios malintencionados para robo de todo tipo de datos en una red. En este proyecto, tras realizar un análisis exhaustivo del comportamiento y desarrollo de las herramientas más utilizadas para realizar este tipo de ataques, y basándose en sus principales características, se ha desarrollado una aplicación que mediante el análisis de paquetes y el estudio de las direcciones ARP que se asocian a un ordenador es capaz de identificar si un usuario está siendo atacado.
    Desde entonces Marmita quedó en standby y se usó internamente para evitar bromas de los compañeros, a la espera de limar algunos pequeños errores. Con la publicación de la herramienta DHCP ACK Injector se nos ocurrió que estaría genial detectar este tipo de ataques y que la mejor opción era añadir esta detección como parte de Marmita.

    Así que le tocó al señor Thor hacer los últimos ajustes y tras un tiempo puliendo detalles e implementando la detección de ataques MITM vía Rogue DHCP y DHCP ACK Injector hoy publicamos Marmita 1.3. Es una herramienta totalmente gratuita que podéis descargar desde aquí.

    Marmita funciona esnifando los paquetes de la interfaz de red seleccionada y analizando aquellos paquetes bien sean ARP o DHCP en busca de posibles ataques MITM. Cuando detecta un ataque muestra una alerta y la información del atacante que haya podido obtener:


    Figura 1: Alerta de Marmita, de un ataque ARP Poisoning

    La herramienta permite varias configuraciones, pudiendo elegir los tipos de ataques que se desean detectar, si se desea que se mitiguen los ataques ARP Poisoning, así cómo la posibilidad de iniciar Marmita con Windows - algo que os recomendamos si vais de red en red -. En la ventana principal además existen distintos paneles con información sobre ARP y DHCP así como todos los logs.


    Figura 2: Configuración de Marmita

    Es probable que en el futuro ampliemos esta herramienta para detectar ataques de envenenamiento de vecinos en IPv6 o la existencia de múltiples servidores DHCP en iPv6 para detectar Rogues y los ataques SLAAC en IPv6, que es lo que tenemos en roadmad para esta herramienta - para cuando nos aburramos en el SOCtano y estemos buscando cosas nuevas que hacer -

    Podéis descargar Marmita desde la web de herramientas de Informática64. También aprovecho para informaros de que hemos en esa misma página hemos publicado una actualización de DHCP ACK Injector que soluciona un un par de bugs que nos habéis reportado.

    Saludos Malignos! @ http://www.elladodelmal.com/2012/03/...es-man-in.html
    [][][] LUK [][][]
    hackhispano.com
    Citar  
     

  2. #2  
    Avanzado
    Fecha de ingreso
    Jan 2004
    Ubicación
    Argentina
    Mensajes
    427
    Descargas
    1
    Uploads
    0
    Muy buena herramienta para los que usan notebook's en espacios publicos. Voy a probarla.

    Alguien conoce alguna herramienta parecida en linux? o algun conjunto de reglas de firewall para evitar estos ataques?
    <<<<<<<<<<<<<<<<<<<<<>>>>>>>>>>>>>>>>>>>
    No llores porque termino, sonrie porque sucedio-.
    Citar  
     

  3. #3  
    Moderador HH
    Fecha de ingreso
    Apr 2010
    Mensajes
    1.052
    Descargas
    7
    Uploads
    0
    Buenísima, probando.
    • Taller de programación HackHispano: http://tallerdeprogramacion.es
    • Wargame HackHispano: [PRÓXIMAMENTE]
    • Normas del foro: http://foro.hackhispano.com/announcement.php?f=2
    Citar  
     

  4. #4  
    Moderador HH
    Fecha de ingreso
    Apr 2010
    Mensajes
    1.052
    Descargas
    7
    Uploads
    0
    Cita Iniciado por Markitos1024 Ver mensaje
    Muy buena herramienta para los que usan notebook's en espacios publicos. Voy a probarla.

    Alguien conoce alguna herramienta parecida en linux? o algun conjunto de reglas de firewall para evitar estos ataques?
    Hombre, Google Chrome te salta cuando te están haciendo este ataque y vas a entrar a gmail o algún otro sitio con login
    • Taller de programación HackHispano: http://tallerdeprogramacion.es
    • Wargame HackHispano: [PRÓXIMAMENTE]
    • Normas del foro: http://foro.hackhispano.com/announcement.php?f=2
    Citar  
     

  5. #5  
    Moderador Global Avatar de hystd
    Fecha de ingreso
    Jul 2005
    Ubicación
    1, 11, 21, 1211...
    Mensajes
    1.596
    Descargas
    58
    Uploads
    0
    Muy buena herramienta para los que usan notebook's en espacios publicos. Voy a probarla.

    Alguien conoce alguna herramienta parecida en linux? o algun conjunto de reglas de firewall para evitar estos ataques?
    En espacios públicos y no públicos... no te puedes fiar de nada ni de nadie! :s

    Para "vigilar" las tablas ARP tienes la herramienta arpwatch, disponible en: http://ee.lbl.gov/ y funciona tanto en linux como en windows.

    Aunque se detecte un sniffer, ya sea con el simple uso de una herramienta específica para ello, como haciendo uso de la variación del tiempo de respuesta a varias peticiones ICMP (por ejemplo con un PING), la mejor forma de evitar un MITM es usar canales seguros (SSH por ejemplo), y hacer sobre todo buen uso de la criptografía.

    Un saludo.
    El optimista tiene ideas, el pesimista... excusas

    Citar  
     

  6. #6  
    Avanzado
    Fecha de ingreso
    Jan 2004
    Ubicación
    Argentina
    Mensajes
    427
    Descargas
    1
    Uploads
    0
    Cita Iniciado por hystd Ver mensaje
    Para "vigilar" las tablas ARP tienes la herramienta arpwatch, disponible en: http://ee.lbl.gov/ y funciona tanto en linux como en windows.
    Gracias
    <<<<<<<<<<<<<<<<<<<<<>>>>>>>>>>>>>>>>>>>
    No llores porque termino, sonrie porque sucedio-.
    Citar  
     

  7. #7  
    Iniciado
    Fecha de ingreso
    May 2010
    Mensajes
    49
    Descargas
    0
    Uploads
    0
    Hola.

    Descargué el Marmita 1.3 pero no hay manera de hacerlo funcionar.
    Tras instalarlo me dice una y otra vez que no puede encontrar el Winpcap 4.x.
    Yo tengo instalado el Winpcap 4.1.3 pero por lo visto no le sirve.
    He entrado en la página de Winpcap pero no he encontrado la versión Winpcap 4.x

    Tendré que darlo por imposible entonces.

    sds
    Citar  
     

Temas similares

  1. Respuestas: 0
    Último mensaje: 19-11-2015, 12:42
  2. Respuestas: 0
    Último mensaje: 21-01-2015, 21:24
  3. Scaner detector de lineas de celular
    Por davidevilc en el foro TELEFONIA
    Respuestas: 1
    Último mensaje: 14-02-2012, 19:01
  4. Camiseta con detector WIFI
    Por ABODUJANA en el foro OFF-TOPIC
    Respuestas: 3
    Último mensaje: 18-11-2007, 12:30
  5. Detector de radar en nokia
    Por dason en el foro TELEFONIA
    Respuestas: 4
    Último mensaje: 15-07-2006, 21:33

Marcadores

Marcadores

Permisos de publicación

  • No puedes crear nuevos temas
  • No puedes responder temas
  • No puedes subir archivos adjuntos
  • No puedes editar tus mensajes
  •