Durante el Master de Seguridad de la UEM del curso 2009-2010, uno de los proyectos que propuse fue la realización de un detector de ataques man in the middle, con una aproximación de Host IDS. Daniel Romero e Ignacio Merino presentaron dentro de ese proyecto la aplicación Marmita, y así resumían ellos su proyecto:
Los ataques Man In The Middle utilizando la técnica de ARP Spoofing son unos de los métodos más utilizados por usuarios malintencionados para robo de todo tipo de datos en una red. En este proyecto, tras realizar un análisis exhaustivo del comportamiento y desarrollo de las herramientas más utilizadas para realizar este tipo de ataques, y basándose en sus principales características, se ha desarrollado una aplicación que mediante el análisis de paquetes y el estudio de las direcciones ARP que se asocian a un ordenador es capaz de identificar si un usuario está siendo atacado.
Desde entonces Marmita quedó en standby y se usó internamente para evitar bromas de los compañeros, a la espera de limar algunos pequeños errores. Con la publicación de la herramienta DHCP ACK Injector se nos ocurrió que estaría genial detectar este tipo de ataques y que la mejor opción era añadir esta detección como parte de Marmita.

Así que le tocó al señor Thor hacer los últimos ajustes y tras un tiempo puliendo detalles e implementando la detección de ataques MITM vía Rogue DHCP y DHCP ACK Injector hoy publicamos Marmita 1.3. Es una herramienta totalmente gratuita que podéis descargar desde aquí.

Marmita funciona esnifando los paquetes de la interfaz de red seleccionada y analizando aquellos paquetes bien sean ARP o DHCP en busca de posibles ataques MITM. Cuando detecta un ataque muestra una alerta y la información del atacante que haya podido obtener:


Figura 1: Alerta de Marmita, de un ataque ARP Poisoning

La herramienta permite varias configuraciones, pudiendo elegir los tipos de ataques que se desean detectar, si se desea que se mitiguen los ataques ARP Poisoning, así cómo la posibilidad de iniciar Marmita con Windows - algo que os recomendamos si vais de red en red -. En la ventana principal además existen distintos paneles con información sobre ARP y DHCP así como todos los logs.


Figura 2: Configuración de Marmita

Es probable que en el futuro ampliemos esta herramienta para detectar ataques de envenenamiento de vecinos en IPv6 o la existencia de múltiples servidores DHCP en iPv6 para detectar Rogues y los ataques SLAAC en IPv6, que es lo que tenemos en roadmad para esta herramienta - para cuando nos aburramos en el SOCtano y estemos buscando cosas nuevas que hacer -

Podéis descargar Marmita desde la web de herramientas de Informática64. También aprovecho para informaros de que hemos en esa misma página hemos publicado una actualización de DHCP ACK Injector que soluciona un un par de bugs que nos habéis reportado.

Saludos Malignos! @ http://www.elladodelmal.com/2012/03/marmita-13-detector-de-ataques-man-in.html