En los siguientes puntos se proporcionara información sobre que es un ataque basado en la Red.
What is a Network-Based Attack?
Un ataque basado en la red es aquel, que se ocupa de la red y en los servicios basados en la misma. Entonces es algo que no esta realacionado con el sistema operativo, por lo cual es todo lo que pasa atraves de la RED, como los paquetes que viajan a traves de la red o en servicios que utilizan pero son mas independientes del sistema operativo, por asi mencionarlo.
Network Services
Esto incluira protocolos como
ARP
DHCP
SMB
FTP
Telnet
SSH
Muchos de los servicios mencionados se puede aprovechar, tanto en explotacion como en escaneo y fingerprint enumeration. Analizamos algunos de estos servicios y las formas en que podemos interactuar y aprovechar una sesion NULL o una session SSH y atacarla ya sea por una contraseña conocida o por Fuerza Bruta.
Network-Based Attacks - Part 1
A continuación, se describe algunos ataques basados en la red.
Man in the Middle
Ataque donde tenemos dos sistemas que están hablando con unos a otros en una red a la que también estamos conectados y se responden. El hacker se encuentra en media de ambos y lo que podemos hacer es escuchar su trafico, porque aquí esta una de las cosas. Cuando el trafico de la red se va, tiene, si esta en la red, entonces esta encerrado en algunos protocolos de capa uno, capada dos, capa tres y cuando se enviar, no se transmite, se envia a un punto final, pero son señales electricas.
Por lo tanto, dependiendo de como esten configuradas las cosas en la red, el trafico prodria llegar a todos los puntos de la red.
Por lo general, con un Switch, no tienes ninguno de esos problemas.
Entonces el trafico que no esta destinado a su maquina, debe de conectarse a su puerto spam que escucha todo el trafico en Switch o necesita ENVENENAR. La formas mas facil de envenenar es el envenamiento ARP (ARP spoofing)
ARP spoofing
El ARP spoofing es donde se empieza a transmitir paquetes ARP que le dicen que otras maquinas en el interior de la red, los paquetes están vinculados a una dirección IP. Pero se erutan dentro de la red según la dirección MAC. Entonces, si falsifica con ARP envenenando una dirección MAC, entonces puede tener trafico destinado a otra maquina. Otra cosa que podemos hacer es establecer el mode promiscuous donde escuchamos todo el trafico, si tenemos suerte, es posible que escuchemos trafico aunque no sea intencionado, por nuestra maquina, si activamos el mode promiscuous, que es bastante estándar en la mayoría de las capturas de paquetes, entonces podremos escuchar otro trafico en la red y todos le dan una idea de como se ve eso.
Practice
# Exploracion de la RED
nmap 192.112.112.0/24 -sn
# Analisis de Servicios
# A: Modo agresivo, realiza cosas adicionales, algo asi como lo es con el comando SC
nmap 192.112.112.1-4 -A
# TAREA: Revisar el entorno de Wireshark
Quiz
Network-Based Attacks - Part 2
Aprender a realizar un analisis basado en capas en el filtrado de Wireshark. Tambien realizar un seguimiento de flujos de paquetes dependiendo del protocolo que se este utilizando. Aprender a filtrar por expresion de filtro.
Debe poder interpretar el trafico y comparar algunos protocolos como HTTP con HTTPS.
Quiz
Labs
Tshark
T-shark es la solucion de WireShark pero por lineas de comandos.
tshark -v
# Buscar el menu ayuda
tshark -h | more
# Enumera las Interfaces del Host
tshark -D
tshark -i eth0
tshark -r <File>.pcap
# Hacemos un conteo de lineas
tshark -r <File>.pcap | wc -l
# Estadisticas del trafico capturado
tshark -r <File>.pcap -z io,phs -q
Filtering Basics: HTTP
tshark -r HTTP_traffic.pcap -Y 'http' | more
tshark -r HTTP_traffic.pcap -Y 'ip.src==192.168.252.128 && ip.dst==52.32.75.91' | more
tshark -r HTTP_traffic.pcap -Y 'http.request.method==GET' | more
tshark -r HTTP_traffic.pcap -Y 'http.request.method==GET -Tfields -e frame.time -e ip.src -e http.request.full_uri'| more
# Busca una string de los paquetes que contiene la palabra password
tshark -r HTTP_traffic.pcap -Y 'http contains password' | more
# Solicitudes hacia un dominio en especifico para identificar la IP publica
tshark -r HTTP_traffic.pcap -Y 'http.request.method==GET && http.host==www.nytimes.com' -Tfields -e frame.time -e ip.dst
# podemos filtrar por la cookie de session (session-id) para falsificarlo
tshark -r HTTP_traffic.pcap -Y 'ip contains amazon.in && ip.src==192.168.252.128' -Tfields -e ip.src -e http.cookie
# Para identificar el navegador (vendor)
tshark -r HTTP_traffic.pcap -Y 'ip.src==192.168.252.128 && http' -Tfields -e http.user_agent
ARP Poisoning
En esta seccion se realizara un envenamiento por ARP.
# Ejecutar nmap para todo el segmento
nmap 10.100.13.0/24
# Pretenderemos ser otra persona y veamos si podemos interceptar el trafico
# que no esta destinado a nosotros
# La siguiente moddificacion es para habilitar el forward
echo 1 > /proc/sys/net/ipv4/ip_forward
# Ejecutar el envenamiento por ARP
# La suplantacion de ARP, le estamos diciendo a 36 que eramos 37
arpspoof -i eth1 -t 10.100.13.37 -r 10.100.13.36
# Paralelamente abrir un wireshark.
# Entonces podemos capturar el trafico, para luego leerlo y usar toda la informacion
# para acceder o vulnerar cualquier equipo
WiFi Traffic Analysis
# Cual es el nombre de la red
# SSID
# Filter
(wlan.fc.type_subtype==0x0008) && !(wlan.wfa.ie.wpa.version==1)&&!(wlan.tag.number==48)
# Nombre de la RED y CANAL
# Filter
wlan contains Home_Network
# El canal se puede encontrar en
# IEEE 802.11 WIRELESS LAN
# > Tagged parameter
# > Tag: DS Parameter set: Current Channel:6
# Que metodo de seguridad esta configurado?
wlan contains LazyArtists
# El metodo de seguridad se puede encontrar en
# IEEE 802.11 WIRELESS LAN
# > Tag: RSN Information <(Number:48)>
# El numero indica que tipo de seguridad esta configurado, en esta caso indica que WPA2PSK
# La red wifi esta protegida contra WPS
# Filter
(wlan.ssid contains Amazon)&&(wlan.fc.type_subtype==0x0008)
# El wps se puede encontrar en
# IEEE 802.11 WIRELESS LAN
# > Tag: Vendor Specific: Microsoft Corp.: WPS
# Type: WPS (0x04)
# Cual es el recuento total de paquetes que fueron transmitido o recibido por el dispositivo
# con una direccion mac de E8DE27
# FILTER
(wlan.ta==e8:de:27:16:87:18)||(wlan.ra==e8:de:27:16:87:18)
# en la parte inferior podra ver los paquetes
Cual es la direccion MAC de la estacion que intercambio datos con SSID
# El wps se puede encontrar en
# IEEE 802.11 BEACOM FRAME
# > fRAME cONTROL fIELD
# Transmitter address: Tp-LinkT_
# Filter
((wlan.bssid==MAC)&&(wlan.fc.subtype==0x0020))
# Podemos indentificar de que el destino no cambia
# Identificar estaciones conectadas
((wlan.bssid==e8:de:27:16:87:18)&&(wlan.addr==e8:de:27:16:87:18))&&(wlan.fc.typ_subtype
==0x0001)
# El wps se puede encontrar en
# IEEE 802.11 Association Response
# > Type/subtype Association Response (0x0001)
Filtering WiFi
En esta ocacion se utilizara tshark
# Ver todo el trafico
tshark -r Wifi_traffic.pcap -Y 'wlan'
# Solo filtrar paquetes del tipo
tshark -r Wifi_traffic.pcap -Y 'wlan.fc.type_subtype==0x000c'
tshark -r Wifi_traffic.pcap -Y 'eapol'
# Solo se mostrara los campos SSID Y BSSID
tshark -r Wifi_traffic.pcap -Y 'wlan.fc.type_subtype==8' -Tfields -e wlan.ssid -e wlan.bssid
tshark -r Wifi_traffic.pcap -Y 'wlan.ssid==LazyArtista' -Tfields -e wlan.bssid
# Chanel
tshark -r Wifi_traffic.pcap -Y 'wlan.ssid==Home_Network' -Tfields -e wlan_radio.channel
# Dispositivos que recibieron el mensaje D-off direcciones mac
tshark -r Wifi_traffic.pcap -Y 'wlan.fc.type_subtype==0x000c' -Tfields -e wlan.ra
#Dispositvo conectado
tshark -r Wifi_traffic.pcap -Y 'wlan.ta==MAC && http' -Tfields -e http.user_agent
