domingo, 23 de abril de 2017

COMO DETECTAR UN SNIFFER EN TU RED con shARP

Descripción:

La falsificación de ARP permite a un atacante interceptar paquetes de datos en una red, modificar el tráfico o detener todo el tráfico. A menudo, el ataque se utiliza como una apertura para otros ataques, como la denegación de servicio, ataques de man in the middle, o los ataques de secuestro de sesión. Nuestro programa anti-ARP (shARP) detecta la presencia de un tercero en una red privada activamente. Tiene 2 modos: defensivo y ofensivo. 
El modo defensivo protege al usuario final del spoofer desconectando el sistema de la red. 
El modo ofensivo desconecta el sistema del usuario de la red y expulsa al atacante enviando paquetes de desautenticación a su sistema, incapaz de volver a conectarse a la red hasta que el programa se restablezca manualmente. 
El programa crea un archivo de registro (/usr/shARP/) que contiene los detalles del ataque, como la dirección Mac de los atacantes, la hora del proveedor de Mac y la fecha del ataque. Podemos identificar el NIC del sistema de los atacantes con la ayuda de la dirección MAC obtenida. Si es necesario, el atacante puede ser permanentemente baneado de la red metiendo la dirección MAC en la lista de bloqueo de nuestro router.

PoC:

Clonamos el repositorio de la herramienta y la ejecutamos:
$ ./shARP -d INTERFAZ

*-d para activar el programa en modo defensivo
*-h Ayuda


Hacemos un MITM con la herramienta ettercap ($ sudo apt-get install ettercap-text-only):
$ ettercap -T -M arp /IPVICTIMA// /IPPuertaEnlace//


Nos informará que que la MAC de nuestra puerta de enlace ha sido spoofeada y se desconectará de la red.


Tenéis toda la documentación en el proyecto: https://github.com/europa502/shARP yo he tenido problemas al instalarlo en Ubuntu 16 y en Debian 8, pero en Kali Linux funciona perfectamente.

Solucion al problema: ping: unknown host gateway
$ sudo nano /etc/hosts
Y añadimos la IP del gateway con el nombre "gateway".



Previous Post
Next Post

post written by:

0 comentarios: