Cafe Largo, ataques MiM (arp poisoning, dhcp spoofing...)

Para empezar a entender como realizamos estos ataques, necesitamos entender lo que es "Man in the Middle" (MiM).
Para eso vamos a explicar brevemente alguno de los distintos tipos de este ataque.

ARP POISONING:
Cuando enviamos información, básicamente lo que hace nuestra pc es revisar sus tablas arp, que son las que tienen resueltas la IP de destino con la mac correspondiente. Esta información se anexa al paquete y se envia atravez de la red.
En forma resumida y básica, lo que hace este ataque para que comprendan, es cambiar la tabla arp de la víctima, con nuestra mac para cada host que tenga explicita. Esto lo realiza enviando broadcast de ARP replies, falsificados con nuestra MAC en lugar de la verdadera.
Cuando las pc's empiezan a enviar información hacia nosotros, la revisamos, y la forwardeamos a donde verdaderamente tiene que ir, lo mismo hacemos con las respuestas, entonces por ejemplo, las pc no perderian la conexion, simplemente, vamos a actuar como el nuevo router para ellas.

DHCP SPOOFING:
Básicamente, un servidor DHCP, lo que hace es responder cada peticion por una ip que haya en la red.
Lo que hace el atacante es tratar de ganarle al servidor cuando se emite la respuesta, para que el cliente tome los datos desde nosotros, le vamos a dar una ip de la red, pero nos vamos a colocar como puerta de enlace, haciendo que todo su trafico se redireccione a nosotros.

ICMP REDIRECT:
Cuando tenemos redes importantes, no solo los dispositivos tienen fijada una puerta de enlace, si no que pueden redireccionar su trafico, respecto a la información que los paquetes ICMP le brindan.
Lo que buscamos es que los dispositivos, enviando paquetes ICMP falsos, redireccionen el trafico hacia nosotros, y nosotros, a la verdadera ruta.

PORT STEALING:
Se utiliza en casos donde no podemos usar un envenenamiento ARP, por el tema de las tablas estáticas. En este caso "atacamos" al switch.
lo que hacemos es enviar paquetes falsificados, haciéndonos pasar por otra pc, el switch entonces piensa que esa pc se encuentra en ese puerto, y toda la data destinada a esa pc va a ir a nuestro puerto. Pero para redireccionarla ala verdadera ip después de capturarla, enviamos una peticion ARP, para que la verdadera responda y el switch vuelva a cambiar su tabla.
Este es un proceso "pesado" por eso hay que hacer una configuración muy fina dependiendo del ambiente.


Básicamente estos son los ataques que vamos a ir explicando, mas algun agregado mas adelante como DNS spoofing, etc...

Para mas data:

• ARP @ rpc.com
• MiM @ sans.com
• FAQ ettercap 1
• FAQ ettercap 2
• FAQ ettercap 3