Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Buscador

Entradas Mensuales

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Foro de elhacker.net - Noticias

elhacker.NET en Facebook

Entradas populares

PostHeaderIcon Liberada herramienta Evil FOCA con licencia GPL




Evil Foca es una herramienta para pentesters y auditores de seguridad que tiene como finalidad poner a prueba la seguridad en redes de datos IPv4 / IPv6.







La herramienta es capaz de realizar distintos ataques como:


  • MITM sobre redes IPv4 con ARP Spoofing y DHCP ACK Injection.
  • MITM sobre redes IPv6 con Neighbor Advertisement Spoofing, Ataque SLAAC, fake DHCPv6.
  • DoS (Denegación de Servicio) sobre redes IPv4 con ARP Spoofing.
  • DoS (Denegación de Servicio) sobre redes IPv6 con SLAAC DoS.
  • DNS Hijacking.

Automáticamente se encarga de escanear la red e identificar todos los dispositivos y sus respectivas interfaces de red, especificando sus direcciones IPv4 e IPv6 y las direcciones físicas a través de una interfaz cómoda e intuitiva.



Ataque de hombre en el medio (MITM) 


El conocido “Man In The Middle” es un ataque, en el que un malhechor crea la posibilidad de leer, inyectar o modificar información que hay en un canal entre 2 equipos sin que ninguno de ellos se entere. Dentro de los ataques de MITM en IPv4 e IPv6 Evil Foca contempla las siguientes técnicas:



ARP Spoofing 


Consiste en enviar mensajes ARP a la red Ethernet, normalmente la finalidad es asociar la dirección MAC del atacante con la dirección IP de otro equipo. Cualquier tráfico dirigido a la dirección IP de la puerta de enlace predeterminada será erróneamente enviado al atacante, en lugar de a su destino real.

DHCP ACK Injection 


Consiste en que un atacante monitoriza los intercambios DHCP y en un determinado punto de la comunicación envía un paquete para modificar su comportamiento. Evil Foca se encargará de convertir el equipo en un servidor DHCP falso en la red.

Neighbor Adverticement Spoofing 


El principio de este ataque es el mismo que el de ARP Spoofing, la diferencia radica en que IPv6 no trabaja con el protocolo ARP, sino que toda la información se transmite a través de paquetes ICMPv6. Existen 5 tipos de paquetes ICMPv6 utilizados en el protocolo de descubrimiento y Evil Foca se encarga de generar ese tipo de paquetes, colocándose entre el gateway y la víctima.

Ataque SLAAC 


El objetivo de este ataque es poder hacer un MITM cuando un usuario se conecta a Internet a un servidor que no tiene soporte para IPv6 y que por lo tanto es necesario conectarse usando IPv4. Este ataque es posible debido a que Evil Foca se encarga de la resolución de nombres de dominio una vez situada en el medio de la comunicación, y es capaz de transformar las direcciones IPv4 en direcciones IPv6.

Falso DHCPv6 server 


Este ataque consiste en que el atacante se hace pasar por el servidor DCHPv6, respondiendo a todas las solicitudes de la red, repartiendo direcciones IPv6 y un DNS falso para manipular el destino de los usuarios o denegar el servicio.

Ataque de denegación de servicio (DoS) 


El ataque DoS es un ataque a un sistema de equipos o red que causa que un servicio o recurso sea inaccesible para sus usuarios. Normalmente provoca la pérdida de la conectividad de la red por el consumo del ancho de banda de la red de la víctima o sobrecarga de los recursos computacionales del sistema de la víctima.

Ataque DoS en IPv4 con ARP Spoofing 


Este tipo de ataque DoS consiste en asociar una dirección MAC inexistente en la tabla ARP de una víctima, con esto se consigue queel equipo en el cual se ha modificado la tabla ARP sea incapaz de conectarse a la dirección IP asociada a la MAC inexistente.

Ataque DoS en IPv6 con ataque SLAAC 


En este tipo de ataque se genera una gran cantidad de paquetes “router advertisement” destinados a uno o varios equipos, anunciando falsos routers y asignando una dirección IPv6 y puerta de enlace diferente para cada router, colapsando el sistema y haciendo que los equipos no respondan.

DNS Hijacking 


El ataque de DNS Hijacking o secuestro de DNS consiste en alterar la resolución del sistema de nombres de dominio (DNS). Esto se puede lograr por malware que invalide la configuración de un equipo TCP / IP para que apunte a un servidor pirata DNS bajo el control de un atacante, o por medio de un ataque MITM, siendo el atacante el que reciba las peticiones DNS, y encargándose él de dar respuesta a una consulta DNS específica para dirigir a la víctima a un destino específico seleccionado por el atacante.

ARP Poisoning (o ARP Spoofing)
 • DNS spoofing

DHCP spoofing ARP Spoofing se trata de un ataque de MITM para redes ethernet, que permite al atacante capturar el tráfico que pasa por la red así como detenerlo (provocando una denegación de servicio), consistente en enviar mensajes ARP falsos, estas tramas ethernet contienen las direcciones MAC manipuladas se envían a los dispositivos de red encargados de la correcta distribución de las mismas, esto provoca que las tramas sean enviadas por las víctimas al atacante o a un destino no válido provocando una denegación de servicio

DNS spoofing utiliza respuestas falsas a las peticiones de resolución DNS enviadas por una “víctima” existen dos métodos en los que puede basarse el atacante

ID Spoofing se basa en obtener el ID de las peticiones de resolución, el atacante puede lograr esto a través de algún ataque de sniffing, como por ejemplo desbordar la tabla ARP “MAC Flooding” de los switchs para ponerlos en un modo conocido como fail open os lo explico en el post sobre CAM … pudiendo el atacante, a partir de ese momento, ser capaz de escuchar los ID de las peticiones, intentando responder a estas peticiones antes que el servidor real, logrando de esta forma engañar a la víctima y llevarla así a la dirección ip que tenga preparada para aprovechamiento.

Cache poisoning es similar al anterior, salvo que se dirige a los servidores de cache de DNS, redirigiendo así a todos sus clientes al host que indique el atacante, siendo esta la más común de las dos.

DHCP spoofing requerimientos de direcciones asignadas por DHCP son hechos con tramas de tipo broadcast, ya que deben ser escuchados por todos los dispositivos dentro de la red local si un atacante responde antes que el verdadero servidor, este puede pasarle información errónea a la víctima, como por ejemplo puede decirle que la puerta de enlace es él. Pudiendo ser bastante sencillo responder antes que el servidor, debido a que muchos verifican si no hay otro dispositivo en la red con la dirección que van a entregar, el atacante tiene una fracción de tiempo en la cual puede responder.

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.