• Inicio
  • Blog
  • Creandolared
  • Buscar
  • Ingresar
  • Registrarse

    • Hack x Crack - Comunidad de Seguridad informática »
    • Seguridad Informatica »
    • Seguridad »
    • Grave problema con MITM
    ¿Quieres aprender de páginas web? Visita la comunidad Creandolared
    • Imprimir
    Páginas: [1]   Ir Abajo

    Autor Tema: Grave problema con MITM  (Leído 2150 veces)

    Desconectado ijna0zaeta

    • { L0 } Ñuub
    • Mensajes: 3
      • Ver Perfil
    Grave problema con MITM
    « en: Octubre 15, 2018, 04:40:04 pm »
    Estoy recibiendo un ataque MITM bastante jodido. La persona en cuestión clona la MAC del router y cambia las caches arp. Sus conocimientos son bastantes ya que no consigo dejar la arp estática ni mucho menos sacarle del router.
    He comprobado que tiene varios servidores conectados a mi pc a través de aplicaciones que me es imposible cerrar o simplemente a través de los puertos del router. No puedo cambiar bien la configuración del router porque al entrar a este parece que sale una página falsa.
    Tampoco puedo ver quien es el verdadero host de destino ya que conozco el procedimiento del ataque, pero desconozco cómo contraatacarlo.
    Si le hago un ataque al router que clona, aparece su MAC (falsa) con una cantidad infinita de direcciones IP desconocidas, por lo que puedo interpretar que tiene un ordenador zombi con varias VM. Lo supongo ya qu si apago el router y lo vuelvo a encender o cambio el router se conecta en menos de cinco minutos, lo cual me hace pensar que ha programado el ordenador para ello.
    Ciertas aplicaciones de mi pc están conectadas a sus servidores a través del 443 y el 80 pero no consigo cerrarlas. Formatear el ordenador es inútil porque en cuanto saben donde estoy y a qué conexión me conecto me la vuelven a liar.
    « Última modificación: Octubre 15, 2018, 10:54:05 pm por ijna0zaeta »
    En línea

    Desconectado animanegra

    • { L7 } Juanker
    • *******
    • Mensajes: 1292
      • Ver Perfil
    Re:Grave problema con MITM
    « Respuesta #1 en: Octubre 17, 2018, 08:35:44 am »
    ¿Tienes acceso físico al router? ¿Tiene wifi? ¿Has aislado el router para cambiar la configuración desde un ordenador que no esté infectado cambiando la configuración desde cable? Si el atacante utiliza la wifi tendras que cambiar contraseñas y nivel de seguridad. ¿Tienes el wps activado? Si el atacante esta conectado a cable tendras que intentar tirar de el, echar un vistazo a la terminal de trunk de los diferentes switches y ver de donde vienen los mensajes de arp que estan cambiando las tablas de arp.
    Lo de que el atacante cambia su mac por la del router es raro, porque si haces un ataque a las tablas de arp no usas la MAC del router, simplemente haces pensar a la gente que la MAC de la IP del router es otra. De hecho tener dos MACs iguales en la red causa bastantes problemas. :\
    ¿Has probado a usar tu ordenador desde un sistema limpio? Me refiero, ¿Por que no usas un live usb y ves que narices pasa por la red?
    ¿Has pensado que igual las IPs falsas puedan estar usandose para redirigirte cuando haces peticiones a sistemas web? Mayormente, que sea lo que utiliza para infectarte, porque en vez de concetarte a gmail (por ejemplo) estés conectandote a su máquina y te quita las contraseñas y te modifica los ficheros que puedas bajar.
    En línea

    Errante

    Desconectado ijna0zaeta

    • { L0 } Ñuub
    • Mensajes: 3
      • Ver Perfil
    Re:Grave problema con MITM
    « Respuesta #2 en: Octubre 21, 2018, 05:41:13 pm »
    La MAC que aparece en mi cache arp es una MAC falsa que ellos han puesto. Al abrir el EVIL FOCA aparece mi router mas un router duplicado. En el momento que yo hago cualquier tipo de ataque es cuando sale la Mac falsa de estos individuos y su ip es la misma puerta de enlace que el router, y debajo de esta por lo menos 30 ips de otros países. Desde luego en el tráfico de la red aparece mucha actividad inusual como arp spoofing etc etc, pero desconozco cómo analizarla con profundidad y cómo poder sacar partido de esas capturas de tráfico (mi conocimientos son escasos) Los servidores que comento los he visto a través de ver los puertos que están abiertos de mi ordenador, pero de nuevo no se como se cierran esos puertos, pues me los tiene abiertos una aplicación de nombre “desconocido”. Ni siquiera estoy entrando a internet cuando están todos esos servidores abiertos. El wifi lo tengo desactivado, estoy por cable y que yo sepa nadie más está conectado a él. La verdad tampoco se muy bien como configurar el router para evitarles. La misma MAC falsa me aparece en diferentes routers a los q me conecto (trabajo, casas de familiares, inclusive los datos móviles) sin ni siquiera estar usando mi ordenador. Decir quien me hace esto sabe bastante, y esta muy seguro de que no le voy a pillar x los anónimos que me envía al correo.
    En línea

    Desconectado animanegra

    • { L7 } Juanker
    • *******
    • Mensajes: 1292
      • Ver Perfil
    Re:Grave problema con MITM
    « Respuesta #3 en: Octubre 22, 2018, 09:05:43 am »
    Si tienes un router y en el cable solo estas tu, o bien el problema es tu equipo o bien el problema es el router. Me refiero a que, si físicamente dentro de tu LAN solo hay dos equipos uno de esos dos equipos es quien te hace el ataque. O bien es tu propio ordenador, o ordenadores o bien es el router de salida.
    Hay un dato que mosquea un poco, porqeu dices que
    Citar
    En el momento que yo hago cualquier tipo de ataque es cuando sale la Mac falsa de estos individuos y su ip es la misma puerta de enlace que el route
    ¿Eso quiere decir que el lanzar tu ataques desencadena eso? ¿Osea mirando la tabla arp antes de lanzar evil foca no hace que veas eso? Y no puede ser ese el problema, que el "bicho" lo tengas en tu evil foca (o tus programas de pentesting). De nuevo comento, igual tendrías que ir aislando el problema. Iniciar el ordenador desde un sistema operativo que puedas estar seguro de que no este "modificado" y empezar a mirar si el problema es del router o del sistema que estas usando. Y empezar a limpiar todos los puntos que vayas viendo. Probar con otro router físico y el sistema limpio en tu ordenador (live cd por ejemplo). E ir poco a poco identificando los puntos que tienes "rotos" para limpiparlos.
    Si las MAC falsas te aparecen en varios sitios diferentes en los que te conectas (diferentes APs) con el mismo ordenador, creo que está bastante claro que por lo menos tienes un problema en tu equipo. No quiere decir que no tengas además un problema en tu router. Normalmente cuando alguien que sabe un poco entra en el ordenador suele tendre a pivotar y calzarse todo lo que vea conectado incluido el router.
    En línea

    Errante

    Desconectado ijna0zaeta

    • { L0 } Ñuub
    • Mensajes: 3
      • Ver Perfil
    Re:Grave problema con MITM
    « Respuesta #4 en: Noviembre 02, 2018, 11:40:37 am »
    El tema es que este personaje me aparece en todas las redes a las que me conecto,  a pesar de hacerlo con nuevos dispositivos.  Trabajo en otra ciudad y ahí está enganchado.  Como es posible que me persiga de ciudad en ciudad?  Decir que se preocupa mucho por saber donde estoy (envía msj anónimos preguntandolo).  He estado haciendo unas pruebas en mi red.  He comprado un nuevo router, lo he configurado, he bloqueado su MAC y le he quitado el wifi, WPS,  etc.  He comprado un nuevo ordenador.  Me he conectado por cable,  he abierto el foca y ahi sigue. El técnico ha venido a mi casa y me ha dicho que no hay nadie más que yo conectado por cable,  que no entiende lo que esta pasando.  He hecho esto en varios lugares donde él hace el MITM y me ha sucedido lo mismo.  Sigue ahi.  Aparece mi router,  más un router clonado,  y una dirección MAC que desconozco (la que bloqueo sin ningún resultado) Repito que el router y el portátil son nuevos...   No se que hacer,  ni que me estan haciendo,  pero creo que esta persona no está cerca mio,  porque monitoriza redes de diferentes ciudades. Decir que he abierto el Evil Foca en mis datos móviles y también están ahí
    En línea

    • Imprimir
    Páginas: [1]   Ir Arriba
    • Hack x Crack - Comunidad de Seguridad informática »
    • Seguridad Informatica »
    • Seguridad »
    • Grave problema con MITM
     

    • SMF | SMF © 2013, Simple Machines
    • XHTML
    • RSS
    • WAP2
    Va un mudo y le dice a un sordo: Hack x Crack usa cookies. Pues eso... Learn more