Ettercap y Bettercap: Herramientas para Auditorías de Seguridad en Redes

By /

En el ámbito de la informática, un ataque se define como una acción destinada a destruir, exponer o acceder de forma no autorizada a datos y sistemas. Un atacante es aquel individuo que sustrae información sin permiso, y una característica de muchos ataques es su naturaleza oculta. Estos no siempre son sencillos; la mayoría son complejos, representando un gran desafío para investigadores de seguridad y empresas que desarrollan soluciones para contrarrestarlos. Los ataques pueden clasificarse en activos o pasivos. Un ataque activo busca alterar los recursos del sistema o destruir datos, permitiendo al atacante modificar la información. Por otro lado, un ataque pasivo tiene como objetivo obtener información del sistema sin alterarla.

Familiarizándonos con los Ataques en Red

Antes de adentrarnos en las herramientas específicas, es crucial comprender algunos tipos de ataques comunes en redes:

  • Eavesdropping (Escucha Secreta): En las comunicaciones informáticas, esto se conoce como "sniffing". Si bien puede parecer una técnica obsoleta, sigue siendo uno de los mayores problemas de seguridad en redes que a menudo los administradores pasan por alto. Cuando se chatea en "texto claro", el tráfico es vulnerable a ser "olfateado".

    Diagrama de ataque de eavesdropping

  • Address Spoofing (Suplantación de Direcciones): Cada ordenador en una red necesita una dirección IP para comunicarse. En este ataque, un atacante intenta falsificar una dirección de destino para engañar a la víctima. Por ejemplo, una petición dirigida a mibanco.com podría ser redirigida a un sitio falso que suplanta al original. El objetivo es suplantar la identidad de un host.

  • Ataque de Denegación de Servicio (DoS): El objetivo de este ataque es hacer que una máquina o recurso de red no esté disponible para los usuarios legítimos, interrumpiendo o suspendiendo los servicios. Los gateways y servidores web, como los bancarios, son objetivos frecuentes. Las técnicas incluyen el uso excesivo de recursos computacionales (ancho de banda, memoria, CPU), la destrucción de información y tablas de enrutamiento, la interrupción de componentes físicos de red (routers, switches, firewalls), el envío de datos no válidos a aplicaciones o servicios, la inundación de destinos con paquetes para colapsarlos, y el bloqueo de accesos para usuarios autorizados. En el caso de un ataque de Denegación de Servicio Distribuido (DDoS), el atacante puede utilizar "zombies" (ordenadores comprometidos) o bots para enviar múltiples peticiones a la víctima.

  • Ataque Man-in-the-Middle (MITM): Este es un tipo de ataque activo donde un atacante se interpone entre dos partes que creen estar comunicándose directamente. El atacante intercepta y, potencialmente, manipula los mensajes entre las víctimas. El éxito del atacante radica en su capacidad para hacerse pasar por uno de los usuarios. Protocolos como SSL/TLS buscan prevenir este tipo de ataques. Software como Cain & Abel, Subterfuge, Ettercap, AirJack, SSLStrip y SSLSniff pueden ser utilizados para implementar estos ataques.

    Ilustración de Ataque Man-in-the-Middle

  • Analizador de Paquetes (Packet Sniffer): Un "sniffer" es una aplicación o dispositivo que permite al atacante "olfatear" el tráfico de red, leer, monitorizar y capturar paquetes. La encriptación del tráfico es una defensa clave. La seguridad de la red depende de su arquitectura; las redes basadas en hubs son muy inseguras, mientras que los switches y routers ofrecen una arquitectura más robusta, aunque no invulnerable. Herramientas populares para sniffing incluyen Cain & Abel, dSniff, Ettercap y Wireshark.

Introducción a Ettercap: La Navaja Suiza para Auditorías de Red

Ettercap es una herramienta gratuita y de código abierto diseñada para lanzar ataques Man-in-the-Middle, análisis de red y auditorías de seguridad. Es compatible con múltiples sistemas operativos, incluyendo Linux, BSD, Mac OS X y Windows.

Instalación de Ettercap:

Si bien es posible instalar Ettercap mediante apt-get install ettercap-gtk, las versiones precompiladas a menudo carecen de todas las opciones y plugins necesarios para auditorías avanzadas. Por ello, se recomienda descargar el paquete de la página oficial y compilarlo manualmente.

Una vez descargado y descomprimido el paquete (por ejemplo, en ~/ettercap-NG-0.7.3), se procede a la compilación en la consola:

./configure --enable-plugins --enable-debug

Este comando prepara el código para ser compilado incluyendo todos los plugins y una herramienta para la depuración.

Interfaces de Usuario de Ettercap:

Ettercap ofrece varias interfaces de usuario:

  • -T: Interfaz gráfica de solo texto.
  • -C: Interfaz gráfica de curses.
  • -G: Interfaz gráfica GTK+.
  • -D: Ejecución en modo demonio (sin interfaz gráfica).

Para ejecutar Ettercap en modo gráfico GTK+, se utiliza el comando ettercap -G. Si se necesita ejecutar con permisos de root (necesario para algunas operaciones de red), se antepone sudo: sudo ettercap -G.

Ejecución de Ettercap en modo GUI

ARP Spoofing con Ettercap

El ARP spoofing es una técnica fundamental en muchos ataques MITM. Consiste en enviar mensajes ARP falsos a la red local para asociar la dirección MAC del atacante con la dirección IP de otro host. El Protocolo de Resolución de Direcciones (ARP) se encarga de traducir direcciones de capa de red (IP) a direcciones de capa de enlace (MAC). Los switches y routers utilizan una tabla ARP Cache para almacenar estas correspondencias. El objetivo del ARP spoofing es secuestrar el tráfico destinado a una IP específica enviándolo al atacante.

Implementación de ARP Spoofing en Ettercap:

  1. Iniciar Ettercap: Ejecutar sudo ettercap -G.
  2. Seleccionar Interfaz de Red: En el menú "Sniff", seleccionar "Unified Sniffing". Se presentará una lista de las interfaces de red disponibles. Seleccionar la correcta (por ejemplo, eth0).
    Unified Sniffing en Ettercap
  3. Escanear Hosts: En el menú "Hosts", seleccionar "Scan for hosts" para descubrir los dispositivos en la red local.
  4. Listar Hosts: Tras el escaneo, en el menú "Hosts", seleccionar "Hosts Lists" para ver los hosts descubiertos.
    Lista de hosts Ettercap
  5. Definir Objetivos: Seleccionar el primer host y añadirlo a "Target 1". Seleccionar el segundo host y añadirlo a "Target 2".
    Añadir host como objetivo en Ettercap
  6. Configurar ARP Poisoning: En el menú "Mitm", seleccionar "Arp Poisoning", luego "Sniff Remote Connection" y confirmar.
  7. Iniciar Sniffing: En el menú "Start", seleccionar "Start Sniffing". A partir de este momento, el tráfico entre los objetivos definidos será interceptado y enviado al ordenador del atacante. Este tráfico puede ser analizado con herramientas como Wireshark.

Ataque de Suplantación de DNS con Ettercap

El Sistema de Nombres de Dominio (DNS) traduce nombres de dominio legibles por humanos (como ejemplo.com) a direcciones IP numéricas. El DNS Spoofing ocurre cuando un servidor DNS devuelve una dirección IP incorrecta, redirigiendo el tráfico a un servidor malicioso.

Implementación de DNS Spoofing en Ettercap:

  1. Editar Configuración de Ettercap: Modificar el archivo /etc/ettercap/etter.conf para asegurar que gid y uid sean 0:bashsudo nano /etc/ettercap/etter.conf# Cambiar:# ec=gid=20# ec=uid=20# a:ec=gid=0ec=uid=0
  2. Editar Configuración del Plugin DNS Spoof: Modificar el archivo /etc/ettercap/etter.dns con un editor de texto (ej. nano). Este archivo contiene la configuración para redirigir dominios. Por ejemplo, para redirigir todas las peticiones a unsitioweb.com a linux.org:# Ejemplo de configuración en /etc/ettercap/etter.dnsunsitioweb.com A 172.67.153.210 # linux.org
  3. Ejecutar Ettercap con el Plugin: Utilizar la siguiente línea de comandos para ejecutar Ettercap en modo texto, silencioso, con el plugin dns_spoof y un ataque MITM de ARP poisoning:bashsudo ettercap -T -q -M arp -i wlan0 -P dns_spoof //192.168.1.1/ 192.168.1.51/
    • -T: Modo texto.
    • -q: Modo silencioso.
    • -M arp: Ataque MITM de ARP poisoning.
    • -i wlan0: Interfaz de red.
    • -P dns_spoof: Utiliza el plugin dns_spoof.
    • //192.168.1.1/ 192.168.1.51/: (Opcional) Especifica las IPs de origen y destino para el ataque. Si no se especifican, el ataque se dirige a toda la red.

Demostración de dns_spoof en Ettercap

Redirección de Conexiones HTTPS a HTTP y Ataques de Phishing

Una técnica avanzada implica redirigir conexiones seguras (HTTPS) a conexiones no seguras (HTTP) para capturar credenciales. Esto se puede lograr configurando un servidor web con Virtual Hosts y certificados autofirmados.

  1. Configurar el Servidor Web: Para alojar distintos tipos de phishing, se debe configurar el servidor web para soportar Virtual Hosts, permitiendo que un mismo servidor responda a múltiples dominios.

  2. Generar Certificado Autofirmado: Para el dominio que se desea suplantar, se genera un certificado autofirmado. Esto conlleva una advertencia de desconfianza en el navegador, ya que la entidad emisora no es de confianza. El ataque solo será efectivo si el usuario ignora la advertencia y procede.

  3. Redireccionar HTTPS a HTTP: Configurar el Virtual Host para escuchar en el puerto 443 (HTTPS) con el certificado autofirmado, y luego redirigir la conexión al puerto 80 (HTTP) en el servidor web.

  4. Capturar Credenciales: Una vez redirigido el tráfico a HTTP, se pueden interceptar los datos enviados mediante el método POST. Por ejemplo, se puede crear una página index.php falsa que capture el nombre de usuario y contraseña y los almacene en un archivo credenciales.txt.

    <?php$user = $_POST['user'];$password = $_POST['password'];$file = fopen("credenciales.txt", "a");fwrite($file, "User: " . $user . " | Password: " . $password . "\n");fclose($file);// Redirigir a la página real o a una página de éxitoheader('Location: https://www.dominio-real.com/login');exit;?>

    La redirección de la conexión HTTPS hacia HTTP, incluso con un certificado autofirmado, mostrará una advertencia de desconfianza en el navegador. Este mensaje no se puede evitar, pero el ataque puede ser efectivo si el usuario acepta la advertencia y continúa navegando.

Bettercap: La Evolución Moderna de Ettercap

Bettercap se presenta como una evolución de Ettercap, una herramienta de red multifuncional escrita en Ruby. Su diseño modular, portabilidad y facilidad de extensión la hacen una opción atractiva para auditorías de seguridad.

Instalación de Bettercap:

La instalación es sencilla y se realiza mediante RubyGems:

gem install bettercap

Si faltan dependencias, se pueden instalar con apt-get.

Funcionalidades de Bettercap:

Bettercap ofrece una amplia gama de módulos y opciones parametrizables:

  • Sniffing Básico: Permite capturar y almacenar el tráfico de red en un archivo PCAP. Los protocolos "filtrables" se detallan en la documentación de Bettercap.

    bettercap --no-spoofing -X -L -o capture.pcap
    • --no-spoofing: Deshabilita el módulo de spoofing.
    • -X: Habilita el modo sniffer.
    • -L: Parsea los paquetes que llegan al equipo.
    • -o capture.pcap: Guarda el tráfico en el archivo capture.pcap.

    El módulo de Discovery está habilitado por defecto, realizando un ARP Scan constante.

  • ARP Spoofing con Filtros: Permite aplicar filtros para visualizar solo el tráfico deseado, como HTTP (puerto 80 TCP).

    bettercap --sniffer-filter "tcp port 80"

    Este comando activa por defecto los módulos de Spoofing, Discovery y Sniffer. Para realizar ARP Spoofing contra máquinas específicas, se usan los parámetros -T (IP a suplantar) y -G (IP del router). El tipo de spoofer (ARP, ICMP, NONE) se define con el parámetro --spoofer.

  • SSLStrip+ y SSLStrip2: Bettercap implementa SSLStrip+ y es compatible con SSLStrip de Moxie Marlinspike, permitiendo el bypass de HSTS (HTTP Strict Transport Security). El parámetro --proxy-module permite inyectar código HTML, CSS o Javascript para modificar el contenido de recursos o ejecutar código del lado del cliente.

    El bypass de HSTS es efectivo bajo ciertas condiciones:

    • El dominio no debe estar cacheado en la caché HSTS del navegador.
    • Si el dominio está cacheado o en una lista precargada, se puede recurrir a ataques como "Delorean" para forzar la caducidad de las entradas en la caché del navegador.

    Cuando el módulo SSLStrip funciona, Bettercap mostrará mensajes como "Found stripped HTTPS link". Un cambio común observado es la modificación de www a wwww en las URLs.

    Bettercap mostrando tráfico SSLStrip

  • Análisis de Peticiones POST: Bettercap permite analizar las peticiones POST, revelando información sensible como credenciales.

Bettercap es una herramienta versátil con un gran potencial para auditorías de red, permitiendo la implementación de una amplia gama de ataques modernos y siendo fácilmente extensible gracias a su base en Ruby.

Protección contra Ataques ARP Spoofing

La suplantación de ARP (ARP spoofing) es una amenaza significativa que permite a los atacantes interceptar y manipular el tráfico en redes locales.

¿Qué es ARP y por qué es importante?

ARP (Address Resolution Protocol) es un protocolo fundamental para la comunicación en redes locales, traduciendo direcciones IP a direcciones MAC. Sin él, los dispositivos no podrían establecer conexiones entre sí. Sin embargo, su diseño lo hace susceptible a ataques como el envenenamiento de caché ARP.

¿Cómo funciona ARP Spoofing?

Un atacante envía mensajes engañosos a la red para asociar su dirección MAC con la dirección IP de un nodo objetivo. Esto desvía el tráfico destinado a esa IP hacia el atacante, quien puede espiar o modificar la comunicación. El atacante puede controlar una máquina externa o usar una propia conectada a la red local.

Tipos de Ataques ARP y sus Consecuencias:

  • Man-in-the-Middle (MitM): El atacante intercepta y puede modificar o espiar comunicaciones entre dos dispositivos.
  • Denegación de Servicio (DoS): El atacante redirige el tráfico, desconectando dispositivos o interrumpiendo servicios.
  • Robo de Datos Sensibles: Ataques que permiten la obtención de contraseñas o datos bancarios.
  • Impacto en la Integridad de la Red: Afecta la seguridad y estabilidad de redes empresariales.

Herramientas Comunes para ARP Spoofing:

Originalmente creadas para pruebas de seguridad, herramientas como ARP0c, Cain & Abel y NetCut pueden ser utilizadas para realizar ARP spoofing.

Detección de Ataques ARP Spoofing:

  • Wireshark: Utilizar filtros como arp.duplicate-address-detected para identificar direcciones IP compartiendo la misma MAC.
  • Patrones de Tráfico: Buscar respuestas ARP no solicitadas y tráfico inusual.
  • Sistemas de Detección de Intrusiones (IDS): Herramientas como Snort pueden identificar actividades sospechosas analizando paquetes ARP.

Prevención y Protección contra ARP Spoofing:

  • Entradas ARP Estáticas: Configurar manualmente las asociaciones IP-MAC evita modificaciones maliciosas.
  • Dynamic ARP Inspection (DAI): Habilitar esta característica en switches gestionados filtra y bloquea mensajes ARP falsificados.
  • Conexiones Seguras: Utilizar VPN o HTTPS cifra los datos, haciendo inútil la interceptación.
  • Segmentación de Red: Dividir la red en subredes limita el impacto de un ataque exitoso.
  • Software de Monitorización: Herramientas como Arpwatch, ARP-Guard o XArp monitorizan la actividad ARP y alertan sobre anomalías. Arpwatch es efectivo en redes con IPs estáticas. ARP-Guard y XArp analizan paquetes y validan dispositivos conectados.

Diagrama de cómo funciona ARP Spoofing

Ventajas y Desventajas de las Contramedidas:

  • Ventajas: Prevención de intercepción y alteración de tráfico, protección de datos sensibles, reducción de ataques que afectan la conectividad.
  • Desventajas: Configuración de ARP estático puede ser compleja y poco práctica para redes dinámicas. DAI requiere control constante y puede generar falsos positivos si no se configura adecuadamente.

El Futuro y la Evolución de las Herramientas de Red

La constante evolución de las tecnologías de red y los mecanismos de seguridad exige herramientas de auditoría y análisis cada vez más sofisticadas. Ettercap, con su larga trayectoria, sigue siendo relevante, mientras que herramientas como Bettercap representan la vanguardia, ofreciendo enfoques más modulares y automatizados. La comprensión de los principios subyacentes a estos ataques, junto con el uso ético y responsable de estas herramientas, es fundamental para el mantenimiento de la seguridad en las redes modernas.

dns spoofing con ettercap y kali linux

tags: #configurar #ssl #en #etercap

Publicaciones populares:

  • VLAN para servidores
  • Gestión de tu línea en el Router WOM
  • Tendidos de poste de cable coaxial
  • Desbloqueando la Banda Ancha ADSL
  • Peligros de las conexiones HDMI