jueves, febrero 23, 2012

DHCP ACK Injector se hace más "selectivo"

Hace tiempo os hablé de DHCP ACK Injector, una herramienta que había salido desde el SOCtano para realizar ataques de Man in the middle en redes locales spoofeando las respuestas de configuración de un servidor DHCP.

Ahora se ha publicado una nueva versión de la herramienta con unas pequeñas funciones para afinar mucho más el ataque que se puede realizar con ella. Funcionalidades que creemos que ya nos venían haciendo falta.

Última configuración usada

En primer lugar se ha mejorado el interfaz, haciendo que la nueva versión recuerde los datos introducidos para no tener que volver a configurar las mismas direcciones IP en cada ejecución. Algo que no extiende en demasía las funcionalidades de la herramienta pero sí que es de agradecer.

Figura 1: Última configuración utilizada

Suplantación selectiva

La segunda mejora que se ha hecho ha sido la de agregar una nueva sección que se ha llamado “Advanced configuration” en la que se van a poder realizar algunas configuraciones interesantes. Por un lado ya es posible seleccionar entre configurar la dirección IP y la dirección MAC con la que se enviará el paquete ACK o utilizar los datos del servidor DHCP real, que era como funcionaba hasta ahora. Esto permite suplantar el DHCP que se desee o incluso "incriminar" a uno en concreto haciendo que si se detecta aparezca la información de otra máquina. Seguro que se os ocurren ideas para las que puede ser útil.

Figura 2: Advanced Configuration

Víctima Selectiva

La otra posibilidad, y quizá más utili de todas, es la de utilizar un filtro de víctimas para atacar solo a los equipos que se desee, basándose en la dirección MAC de la petición o en el nombre de equipo de la víctima. Por supuesto, estos datos se deberán obtener antes de realizar el ataque.

Como ayuda, para obtener la dirección MAC de una IP conocida ya sabéis que basta con realizar una petición ping a la dirección IP de la víctima y consultar después la tabla de caché arp.

La nueva versión de DHCP ACK Injector se puede descargar desde la web de Informática 64, en la sección de herramientas.

Saludos Malignos!

6 comentarios:

Anónimo dijo...

Muy chulo :-).
Para evitar este tipo de cosas, a parte de electrónica de red de switches, IDS, podría ser también interesante esto:
Rogue DHCP Server detection
http://blogs.technet.com/b/teamdhcp/archive/2009/07/03/rogue-dhcp-server-detection.aspx

Sam dijo...

Que tal.
Lo probé ayer por la tarde y no me funcionó el filtrado por direcciones MAC... solo por avisar

Thor dijo...

Buenas Sam, lo acabamos de probar con 2 equipos y el filtrado MAC funciona correctamente, cuando lo configuras solo "ataca" al equipo con MAC especificada.

Si puedes darnos mas detalles sobre cómo lo utilizas para solucionar el problema te lo agradeceríamos mucho.

Saludos!

gespas dijo...

Hola,

gracias a la inspección de paquetes dhcp en switches con dhcp snooping ( http://capa3.es/dhcp-snooping-prevencion-de-ataques-dhcp.html ) se pueden evitar también ataques MitM de envenenamiento ARP con Dynamic Ip Arp Inspection, ya que usa la bbdd de binding dhcp para permitir sólo tráfico ARP legítimo en el puerto del switch :

http://capa3.es/dynamic-arp-inspection-prevencion-de-ataques-mitm.html

Saludos !

Adrián Ruiz dijo...

En windows 7 con interfaz wireless, al conectar un dispositivo a la red y al solicitar ip... el programa casca. La solicitud es atendida y el dispositivo configurado.

JE Subs dijo...

Bueno Sr. Maligno he estado trabajando un poquito acerca de este tema y me gustaría que si tienes tiempo leyeras mi artículo:

http://subscriber.diosdelared.com/?coment=12149

Hay un enlace a tu página también ya que me inspire parte de eso en tu entrada.

Muy interesante y he portado el código a Python con Scapy.

Tengo pensado hacerlo con Raw Sockets. Un saludo.

Eleven Paths Blog

Seguridad Apple

Entradas populares