Ataque Man-in-the-middle
En criptografía, un ataque man-in-the-middle o JANUS (MitM o
intermediario, en español) es un ataque en el que el enemigo adquiere la
capacidad de leer, insertar y modificar a voluntad, los mensajes entre dos
partes sin que ninguna de ellas conozca que el enlace entre ellos ha sido
violado.
El atacante debe ser capaz de observar e interceptar mensajes entre las
dos víctimas. El ataque MitM es particularmente significativo en el
protocolo original de intercambio de claves de Diffie-Hellman, cuando
éste se emplea sin autenticación.
La necesidad de una transferencia
adicional por un canal seguro
Salvo el Interlock Protocol, todos los sistemas criptográficos seguros frente a
ataques MitM requieren un intercambio adicional de datos o la transmisión
de cierta información a través de algún tipo de canal seguro. En ese
sentido, se han desarrollado muchos métodos de negociación de claves
con diferentes exigencias de seguridad respecto al canal seguro.
Posibles subataques
El ataque MitM puede incluir algunos de los siguientes subataques:
Intercepción de la comunicación (eavesdropping), incluyendo análisis deltráfico y posiblemente un ataque a partir de textos planos (plaintext)conocidos.
Ataques a partir de textos cifrados escogidos, en función de lo que el receptorhaga con el mensaje descifrado.
Ataques de sustitución.
Ataques de repetición.
Ataque por denegación de servicio (denial of service). El atacante podría, porejemplo, bloquear las comunicaciones antes de atacar una de las partes. Ladefensa en ese caso pasa por el envío periódico de mensajes de statusautenticados.
MitM se emplea típicamente para referirse a manipulaciones activas de losmensajes, más que para denotar intercepción pasiva de la comunicación.
Defensas contra el ataque
La posibilidad de un ataque de intermediario sigue siendo un problema
potencial de seguridad serio, incluso para muchos cripto sistemas basados
en clave pública. Existen varios tipos de defensa contra estos ataques MitM
que emplean técnicas de autenticación basadas en:
Claves públicas
Autenticación mutua fuerte
Claves secretas (secretos con alta entropía)
Passwords (secretos con baja entropía)
Otros criterios, como el reconocimiento de voz u otras características
biométricas
Defensas contra el ataque
La integridad de las claves públicas debe asegurarse de alguna
manera, pero éstas no exigen ser secretas, mientras que los passwords y las
claves de secreto compartido tienen el requerimiento adicional de la
confidencialidad.
Las claves públicas pueden ser verificadas por una autoridad de
certificación (CA), cuya clave pública sea distribuida a través de un canal
seguro (por ejemplo, integrada en el navegador web o en la instalación
del sistema operativo).
Ejemplo 1
Abrimos nuestra distro kali en Vmware, pero debemos colocar la red de
nuestra distro en la maquina virtual en modo bridge o puente como se
ilustra, si en tu caso no tienes mas maquinas virtuales dentro de la red
Ejemplo 1
Recordemos que es Ettercap
Ettercap es un interceptor/sniffer/registrador para LANs con switch. Soporta
direcciones activas y pasivas de varios protocolos (incluso aquellos
cifrados, como SSH y HTTPS).
También hace posible la inyección de datos en una conexión establecida
y filtrado al vuelo aun manteniendo la conexión sincronizada gracias a su
poder para establecer un Ataque Man-in-the-middle(Spoofing).
Ejemplo 1
Si escribimos
ettercap –h
Nos saldrá la línea de comando que podemos ejecutar si escogemos la
opción de la consola
Ejemplo 1
Ahora si escribimos lo siguiente
ettercap –T –M ARP –i eth0 // //
Tomando en cuenta que
-T significa el modo texto
-M un ataque MITM
ARP Es un ataque de MITM para redes ethernet, que permite al atacantecapturar el tráfico que pasa por la LAN y también detenerlo (una denegaciónde servicio o DoS).
Consiste en enviar algunos mensajes ARP falsos ('spoofed'). Estos framesethernet contienen las direcciones MAC manipuladas según la convenienciadel atacante. Estos mensajes confunden a los dispositivos de red(principalmente a los switchs). Como resultado los frames de las víctimas sonenviados al atacante o a un destino no válido en el caso de una "DoS".
Ejemplo 1
Ahora si escribimos lo siguiente
ettercap –T –M ARP –i eth0 // //
Tomando en cuenta que
-eth0 interfaz a través de cable
Ejemplo 1
Ahora en otra terminal escribiremos lo siguiente
driftnet –h
Tomando en cuenta que
-h será como el wizard de comando en los cuales nos podemos apoyar
para utilizar este capturador del trafico de la red en forma de imagenes
Ejemplo 1
En esa misma terminal ahora escribiremos
driftnet –i eth0
Tomando en cuenta que
-i selecciona la interface a escuchar, por defaults son todas
etho a travez del cable
Ejemplo 1
Abrimos en la maquina física el navegador en mi caso abrí el Chrome, nos
vamos a youtube, tecleamos un video o lo que queramos, le damos play, y
se supone que el drifnet debe de capturar ese tráfico en forma de
imágenes como se denota a continuación
Top Related