Ataque por envenenamiento ARP y DNS

Antivirus y antispyware, Firewalls e IPS, Sistemas de copia de seguridad, etc.
Responder
TrIpeR
Mensajes: 963
Registrado: 07 Feb 2007 21:18
Ubicación: Madrid

Ataque por envenenamiento ARP y DNS

Mensaje por TrIpeR »

Buenas tardes,
hace unos minutos mi firewall por software de ESET me alertaba continuamente de ataques por envenenamiento de tipo DNS y ARP.
El de DNS la dirección de origen era la del servidor DNS de mi ISP por el puerto 53 con protocolo UDP.
El de ARP venía de mi router.

En principio la tabla ARP de mi equipo parece normal aunque no si se ESET ha llegado a bloquear algo.
Cada vezqe reinicio el router me detecta los ataques ARP y hasta que no reinicio el firewall del ESET no navego.

¿os ha pasado algo parecido? ¿Recomendaciones?

Un saludo!! :D
Avatar de Usuario
SoTA
Mensajes: 3394
Registrado: 03 Feb 2007 12:25

Re: Ataque por envenenamiento ARP y DNS

Mensaje por SoTA »

Si tienes wpa2 puede envenenar todo lo que quiera que no va a sacar tu pass, no obstante aumentará el tráfico de tu red y eso puede llegar a ser un problema.

Sinceramente no se si se puede evitar el envenenamiento, lo único que encontré al respecto es esto:

http://www.portalhacker.net/index.php?topic=70466.0

Pero estoy seguro de que no funciona.

Creo que lo más fácil es hacer saber al "intruso" que estás al tanto de su ataque y que no lo vas a dejar pasar.

Imagen

Simplemente prueba a poner un nombre de red tipo "No seas cansino y págate internet" o "A envenenar a tu P. casa". Si usa Cain, debería saber que no podrá hackear wpa2.


Estoy dando por hecho que se trata de un intento de hackeo wifi, pero ¿es posible que el intruso se encuentre ya en tu red? Eso cambiaría las cosas.
TrIpeR
Mensajes: 963
Registrado: 07 Feb 2007 21:18
Ubicación: Madrid

Re: Ataque por envenenamiento ARP y DNS

Mensaje por TrIpeR »

Podría ser, tengo 2 puntos de acceso WIFI en un edificio en madrid en el que puede intentar conectarse mucha gente y por dejadez tengo una configuración de seguridad WIFI pésima.
En uno de los puntos WIFI WEP-64 y en el otro hasta hoy tenía wpa con ssid oculto y hoy después de la alerta de ataque lo he puesto en wep-128, oculto y con restricción de mac, pero vamos el wep-64 es super fácil de saltárselo.

He sido tan dejado en parte porque la gente de mi comunidad era bastante mayor, pero es verdad que han venido gente jóven nueva, tendré que reforzar las defensas.

Por otra parte tengo problemas con mi Desire y encriptación WPA2, prácticamente tengo que forzar a que se conecte y pierde muy rápido la conexión aunque la conexión sea perfecta.

Demomento he desconectado el punto WIFI que estaba por WEP y he dejado solo el que tiene filtrado por MAC, se que hay métodos para "cambiar" la MAC pero aún haciéndolo a alguno de los 2 no iría mal la navegación, ¿no?

Un saludo.
Avatar de Usuario
alarido
Mensajes: 2313
Registrado: 04 Feb 2007 03:57
Ubicación: Madrid

Re: Ataque por envenenamiento ARP y DNS

Mensaje por alarido »

En cualquier tipo de red, tu normalmente quieres conectar a una IP que puede estar o en la red local o en Internet, cuando esta en internet mandas los paquetes al gateway al que apunten las rutas que tengas ese gateway esta en la red local, cuando vas a la red local haces lo mismo que para localizar el gateway, como solo sabes la IP tu equipo trata de resolver que dirección MAC tiene esa IP para poder enviarle tráfico y eso se hace con el protocolo ARP, básicamente tu preguntas a toda la red local ¿cual es la MAC para esta IP? y el equipo en cuestión responde.

En el envenenamiento, el atacante responde a todas las solicitudes diciendo que su MAC es la que corresponde a esa IP de modo que todo el tráfico se le envía primero a el (por decirlo de alguna manera se convierte en gateway para todo el tráfico interno y externo de la red) y así lo puede interceptar. Lo suyo es que localices al listo que lo está haciendo y que se le quiten las ganas de hacer el capullo. Puedes buscar en cualquier página el fabricante de la MAC, aunque el atacante la puede cambiar seguramente sea un script kiddie y te de pistas de quien es.

Pon un sniffer para empezar capturando trafico ARP nada más, prueba a hacer pings a direcciones IP de tu red interna y ver la tabla ARP a ver si todas las IP tienen la misma MAC, también prueba con varias IP públicas, si pasa con las publicas o de otras redes privadas que no sean la local seguramente sea un router o firewall haciendo proxy-arp (es una manera de no tener que poner rutas estáticas a los PC cuando hay varios routers, o se quiere acceder a varias redes, etc.)

WEP + cualquier longitud de clave = caca
Avatar de Usuario
SoTA
Mensajes: 3394
Registrado: 03 Feb 2007 12:25

Re: Ataque por envenenamiento ARP y DNS

Mensaje por SoTA »

Si tienes wep o wpa1 entonces la situación cambia. El intruso ya lo tienes en tu red y lo que está haciendo es intentar sacarte las claves de facebook, etc.

Puedes hacer lo que te dice Alarido, intentar darle una lección al intruso, pero te arriesgas a que él sepa más que tu y salgas perdiendo.

Los métodos de seguridad que usas son inútiles, ocultar el SSID y filtrar por MAC no tienen efecto, ya que el propio proceso de hacking muestra los SSID ocultos y suplanta la MAC de alguno de los equipos de la LAN.

Yo me pasé mucho tiempo dándole vueltas a esto porque con mi iphone viejo no podía conectarme a wpa2 y con los otros métodos de cifrado me entraban por todos lados. Hasta que no cambié de móvil y puse wpa2 no quedé tranquilo. Te recomiendo hacer lo mismo.
TrIpeR
Mensajes: 963
Registrado: 07 Feb 2007 21:18
Ubicación: Madrid

Re: Ataque por envenenamiento ARP y DNS

Mensaje por TrIpeR »

vaya... pues no me quedará más remedio, hoy no he tenido tiempo asique solamente he desactivado la red WIFI, pero es importante que mi red sea segura, no creo que nadie en mi edificio se un hacker muy bueno pero no me voy a arriesgar. Mañana que en principio voy a tener más tiempo intentaré investigar un poquillo aunque como he desconectado el WIFI imagino que mañana no voy a ver nada raro.
Responder