Ataque DoS Basado en ataque Man In

The Middle con Backtrack 4 R1

¿Qué es un ataque DoS?

En la carrera de mantener un sistema informático, se deben mantener 3 factores importantes en él,

estos factores determinan la calidad y seguridad del sistema.

Estos factores son la Confidencialidad, Integridad y Disponibilidad de los datos que maneja este
sistema de información. Cuando un sistema es atacado, se afecta uno o todos estos factores del
sistema de información. Pero que significa cada uno de estos.

Confidencialidad: que la información importante que maneja el sistema de información no sea visto
por personal no autorizado.

Integridad: que los datos que maneja el sistema de información no sean borrados o modificados por
personal no autorizado o que cause un problema con la funcionalidad del sistema como tal.

Disponibilidad: que la información que maneje este sistema de información sea accesible 24/7/365.

Cuando se hace un ataque de DoS (Denial of Service/Denegación de servicio) se atenta con la

disponibilidad del sistema, al momento el servicio o servicios que presta serán negados y no los
podrá prestar a uno o todos sus clientes.

Detener uno de estos ataques en un sistema de información, es un poco complicado, ya que existen
muchas técnicas y en muchos casos no se ataca solo a la maquina sino al ancho de banda que esta
maneja, en comparación a esto, es como si una persona X llame consecutivamente a tu número de
teléfono personal, para no recibir nuevamente esta llamada, descolgaremos el teléfono, pero esto a
su vez no permitirá que ninguna persona pueda contactar contigo tampoco.

¿Qué es un ataque Man in The Middle?

Entre otros ataques conocidos a sistemas de información, se encuentra uno muy utilizado, conocido
como Man in The Middle (o de hombre en el medio). Este ataque básicamente se intenta
interponernos entre nuestra víctima y el sistema de información, de tal manera todo lo que nuestra
“victima” envíe, tendrá por obligación que pasar por nosotros y podríamos hacer con esa
información lo que queramos.

Este ataque afecta los 3 factores, afecta la Integridad, pues al pasar por nuestras manos podemos
cambiar cada uno de los datos, afectando la integridad de los mismos. Afectamos la
confidencialidad al tener acceso a información (si capturamos toda la comunicación de la víctima y
el sistema) y podemos afectar la disponibilidad si denegamos todas las peticiones que haga nuestra
victima evitando que se comunique con el sistema de información.

Como trabaja un ataque Man In The Middle.

1. Identificar nuestra víctima:

- Debemos saber hacia quien va dirigido el ataque. Necesitamos información
importante como su dirección IP y si se encuentra en nuestra red.
2. Cambiar su tabla ARP:
 - cada vez que queramos enviar o recibir un paquete de otro equipo necesitamos
realizar un broadcast y requerir a todos los equipos de la red con una petición
ARP request. Esta tarea puede resultar pesada y sin duda genera tráfico de red
innecesario. Para solventar este problema los S.O disponen de una tabla cache
de ARP REPLY.
- La tabla contiene pares de direcciones IP y MAC de la siguiente manera:

IP1 MAC2

192.168.1.2 00:05:84:4C:FF:00

De esta manera solo se tendrá que actualizar esta tabla cada cierto tiempo y
listo.
- Nuestro objetivo cambiar esta tabla para hacer creer a nuestra maquina victima
crea que nuestra computadora es ahora quien provee el servicio que ella
necesita.
- Luego negaremos todas las peticiones que esta máquina quiera realizar, de esta
manera se completara el ataque de denegación de servicio utilizando un ataque
Man In The Middle, pero ¿Cómo lo realizaremos?

Backtrack (A pentesting Linux dist.)

Entre las herramientas que utilizaremos en este taller, se encuentra una distribucion de Linux
dedicada a la seguridad informática y penetration testing, es el Linux backtrack (en este taller se
hará uso del backtrack 4 R1). Esta distribución de Linux posee herramientas para la simulación de
penetraciones reales, con los cuales se prueba que tan vulnerable es un sistema de información y
que medidas de seguridad se podrían tomar en caso de serlo.

¿Con que herramientas cuento?

En esta distribución de Linux contamos con herramientas muy utilizadas en el mundo real de la
in”seguridad” informática. Desde programas para crear esquemas de ataque, pasando por programas

1
Es el número asignado a un computador cuando se conecta a una red, ya sea física o inalámbrica. Este
número es único en esa red. Las redes que utilizan esto como identificación de cada computador, utilizan el
protocolo TCP/IP, también utilizado a nivel mundial en la INTERNET. Para más información
http://es.wikipedia.org/wiki/Familia_de_protocolos_de_Internet.
2
Este número lo asigna el fabricante de la tarjeta de conexión de red. Este es único en el mundo ya que este
número está compuesto por varias series que significan quien es el fabricante, que modelo representa esta
tarjeta, entre otra información. Para más información http://es.wikipedia.org/wiki/Direcci%C3%B3n_MAC.
de “crackeo” de passwords(contraseñas), hasta xploits dedicados para cada uno de los programas
más utilizados así como frameworks para poder trabajar con estos (MSF – Meta Sploit Framework).

¿Cómo obtengo BackTrack?

Puedes descargar Imágenes (.iso) de backtrack, así como máquinas virtuales instaladas(trabajando
bajo VMWare) del siguiente enlace http://www.backtrack-linux.org/downloads/.

Es una distribución completamente gratuita, con mucho auge dentro de las personas que les gusta y
practican la seguridad informática, con muchas buenas herramientas y una comunidad bastante
amplia (una comunidad bastante grande, inicialmente colombiana que trabaja con esta distribución
es DragonJar, pueden encontrar mucha documentación en su página http://DragonJar.org.)

Iniciando Con BackTrack 4 R1.

Si ya has utilizado otros Linux ya estarás familiarizado con el término Live CD. Para quienes son
nuevos en este tipo de tecnologías, un Live CD es una distribución de un sistema operativo el cual
puede iniciar sin necesidad de estar instalado en la maquina donde se quiere utilizar. BackTrack 4
es, por supuesto, una distribución Live CD, lo que quiere decir que no es necesario instalarlo para
poder utilizarlo en nuestra computadora, basta con iniciar el computador con el cd introducido,
entrar al menú de boot de tu ordenador y elegir la opción de iniciar desde CD/DVD-ROM.

Aquí les mostrare como iniciara BackTrack una vez elegida la opción de inicio desde CD/DVD-
ROM:

1. Primera Pantalla:
En esta pantalla se muestran las distintas opciones de iniciar el backtrack. Nosotros lo iniciaremos
en FrameBuffer (1024x768). Esto lo iniciara de manera gráfica con la resolución (1024x768). Otros
inicios por ejemplo el Forensics funciona para analizar discos y evidencias que puede haber en este.
Por ahora nos concentraremos en iniciar backtrack de manera gráfica.

2. Pantalla 2:
En esta pantalla se ven cargar cada uno de los módulos, servicios, interfaces, etc. Con que cuenta
BackTrack. En esta pantalla solo queda esperar a que termine cada uno de esos procesos.

3. Pantalla 3:

Al momento de ver esta pantalla, con un puntero esperando que demos una instrucción, iniciaremos
el modo grafico del backtrack (X’s Server). Para ello le daremos la instrucción “startx” (sin
comillas). De esta manera se iniciara un entorno grafico amigable al usuario.

4. Pantalla 4:
BackTrack iniciara todos los componentes gráficos y al finalizar, mostrara la pantalla anterior. En
esta navegaremos en backtrack y conoceremos todo su poder (destructivo).

Configuración inicial de BackTrack.

Preferencias de pc para utilizar backtrack:

- Para configurar rápidamente, preferiblemente se debe utilizar un computador

con conexión cableada. Para correr backtrack no es necesario una computadora
muy potente. Se necesita por lo menos 256mb de memoria RAM, 3gb de disco
o más, procesador Pentium III o AMD64/K8.

Configurando la red alámbrica de BackTrack.

1. La Shell de Linux.
Si comparamos la Shell de Linux con algo reconocido, se podría comparar con la consola
de comandos de Windows. En esta se ejecutan comandos de Linux para
configurar/activar/ejecutar… etc. Cada una de las características y/o programas que maneja
Linux.

Lo que haremos es activar la interface de la red alámbrica de nuestro computador, ya que

por defecto esta viene apagada y es necesario encenderla para realizar nuestro ataque. Para
esto abriremos una Shell, y escribiremos el comando para iniciar todas las redes que estén
conectadas.

root@bt:~# /etc/init.d/networking start

Con este comando activamos todas las interfaces de redes, entre ellas se encontrara la eth0,
que es la interface de la conexión Ethernet de nuestro computador. (hay que tener en cuenta
que si tenemos más de una conexión con cable, estas toman los nombres de las interfaces
eth0, eth1,eth2…, así que hay que identificar en ese caso cuál de todas es la que se
encuentra conectada a la red que en donde se encuentra nuestra víctima. ).

Con nuestra red arriba, ya podemos comenzar el ataque de Man In The Middle. Para ello
utilizaremos la herramienta ettercap, que ya trae Linux backtrack instalada y lista para usar.
Básicamente lo que se intentara hacer es un ARP Poisoning(o envenenamiento ARP). En el
cual alteraremos la tabla arp de nuestra victima para que ella crea que nosotros somos el
servidor al cual ella se está conectando. Esto lo haremos mandándole un paquete de ARP
Reply falso en donde modificaremos la IP de donde esta persona se conecta y la
asociaremos con nuestra MAC. De esta manera estaremos entre el computador víctima y el
servidor.
2. Iniciando el ataque Man In The Middle.

- Abrimos una Shell y escribimos el siguiente comando

“ettercap –Tp –M arp /”ip_victima”/ /”ip_router”/” ,así como se observara en
la siguiente imagen.

- Donde 192.168.1.2 es el IP de la víctima y 192.168.1.1 es el servidor que presta

un servicio X (en este taller se atacara a un router, por lo cual la maquina
víctima no podrá tener acceso a internet cuando finalicemos todo el ataque).

-T se utiliza para iniciar el modo solo texto.

-p no activa el modo promiscuo.
-M nos mantiene entre la víctima y el servidor (en este caso nuestro router).
De esta manera nos ubicaremos entre el servidor y nuestra victima para ya sea
escuchar/capturar tráfico de red, o en este caso, hacer un ataque de DoS.

Cuando se complete el ARP Poisoning se mostrara la siguiente pantalla.

Ahora estando en la mitad, coloquemos a nuestro computador atacante a

rechazar cualquier tipo de conexión entrante, para esto, utilizaremos otra
herramienta encontrada en BackTrack 4 R1, el TCPKILL.

Este programa rechaza toda conexión entrante por una de nuestras interfaces, en
este caso cancelaremos todas las peticiones entrantes a nuestra interface eth0,
que es la interface donde llegaran todas las peticiones de nuestra maquina
víctima.
 La comunicación a través del protocolo TCP/IP se comienza enviándose entre
cliente y servidor banderas de conexión, las principales para aceptar peticiones
de conexión son SYN, SYN/ACK, ACK, al completarse en el orden que se
muestra en la imagen, se inicia la comunicación entre servidor y cliente.
Lo que hace el TCPKILL es mandar una 4ta bandera RST la cual resetea la
conexión, y de esta manera la comunicación no se realizara. El diagrama se
vería de la siguiente manera.

1-Victima ---------------SYN---------------> 2 Maquina Atacante

4-Victima <--------------RST---------------- 2 Maquina Atacante.

La máquina victima enviara una bandera SYN para iniciar la comunicación, y

luego la maquina atacante le enviara un RST para cerrar la conexión de la
víctima, de esta forma, la victima nunca lograra hacer una comunicación. Y de
esta manera se completa el ataque DoS.

3. Iniciando El ataque DoS.

 - Se abre una nueva Shell, con el botón , en esta se abrirá el TCPKILL para
evitar todo tipo de conexiones de la maquina cliente.
- Se escribe en ella el comando “tcpkill –i interfaz src ip_victima”. De esta
manera se rechazaran todas las conexiones que entren a través de la interfaz
dada que tengan como fuente la IP de la víctima.

- De esta manera concluimos el ataque, en este momento la maquina víctima no

podrá abrir ninguna página web, ni aprovechar ningún servicio brindado por el
router. Negándole todo los servicios que brinda la red.

Conclusión.
De esta manera hemos visto cómo se puede realizar un ataque DoS partiendo de un ataque Man In
The Middle, a través de un grupo de herramientas que trae Linux BackTrack 4 R1. Un ataque de
este índole (DoS) es muy difícil de detener, puesto que no solo se puede lograr atacando una
computadora víctima, sino que también se puede atacar a una red y saturarla o atacar directamente a
los switches/hubs/routers que brinden la conexión entre las computadoras.

Apéndice A
Configurando Redes con DHCP en BackTrack 4.

Entre una de las cualidades de BackTrack 4, es la cantidad de herramientas con que cuenta para
hacer el uso más fácil al usuario. Para las configuraciones de redes (ya sean cableadas o
inalámbricas) se cuenta con la herramienta pre-instalada Wicd.

Para abrir esta herramienta se debe abrir una ventana para ejecutar comandos (ya sea la Shell, que
ya sabemos cómo abrirla, o tecleando simultáneamente las teclas alt+F2, para iniciar un intérprete
de comandos rápidos). Aquí escribiremos “wicd 3” (sin comillas), y se ejecutara el programa wicd.
También se puede encontrar en el menú principal, en el submenú de internet.

1 – Opción 1 por comandos.

2 – Opción 2.

3
Para la consola de comandos Shell, el comando para ver la interfaz gráfica seria wicd-client.
Ya adentro de wicd nos mostrara los diferentes dispositivos que disponemos para las conexiones a
redes.
Si no toma las conexiones inalámbricas y sabemos que tenemos conectado el dispositivo y sus
drivers, podemos comprobar la ruta de este con el comando iwconfig en una Shell, y luego en el
botón preferences añadir nuestro adaptador wireless.

En nuestro caso es la Wlan0, asi que añadiremos este dispositivo a nuestro wicd y para que lo haga
de ahora en delante de manera automática cuando este esté conectado.

Damos clic en el botón Preferences y aparecerá una ventana como la siguiente.

En el recuadro que dice Wireless interface, escribiremos el nombre de la interface que contiene
nuestra tarjeta wireless, en este caso específico Wlan0 (sin mayúsculas, este nombre podría variar).
Quedando nuestro recuadro de la siguiente manera.

Luego Damos el botón ok, y refrescaremos el wicd para que también encuentre las redes
inalámbricas.
De esta manera aparecerán todas las redes inalámbricas en la cobertura de nuestra tarjeta.

Luego de haberse conectado a una red, ya sea cableada o inalámbrica, para asignar el IP de manera
estática (ya que no contamos con un sistema dhcp, o esta deshabilitado), recurriríamos de la
siguiente manera.

Damos clic en el botón de Properties y aparecerá una ventana como la siguiente.

En ella marcaremos la opción “Use Static IPs” y de manera igual se activaran todas las casillas
debajo de esta opción, aquí introduciremos nuestra configuración de red de manera manual (deberá
configurar IP, Netmask y Gateway según la configuración de su red). Del mismo modo se activara
la opción de usar DNS estatico, y podra colocar la dirección de su servidor DNS de la red o dejarlo
en blanco si su Gateway tiene configurado uno en internet.

En un caso hipotético quedaría algo como lo siguiente:

Al terminar esto pulsar el botón ok y listo.

¡¡¡PRECAUCION!!!:
1. Hacer esto hace que la tarjeta o dispositivo siempre disponga de estas direcciones al intentar
conectarse a cualquier red. Si otra red tiene una configuración diferente, usted no tendrá un
acceso a su otra red, si necesita tener acceso a otra red con configuración diferente, cambie
los datos, si esta nueva red tiene dhcp solo desmarque la opción Use Static IPs.
2. Cualquier dirección mal escrita en la configuración, podría dejarlo por fuera de la red.
3. Antes de modificar esto por favor pregúntele al administrador de la red si puede dar una IP
desocupada, además que el Gateway de la subred donde se encontraría y la Netmask que
trabaja esta subred.

Al momento de conectar una red wireless, si el punto de acceso tiene contraseña podrán escribir
esta al momento de conectar, en la ventana que aparece justo después de intentar conectarse a la
red.
Podrán elegir entre los diferentes tipos de encriptación soportadas por los dispositivos wireless. Al
finalizar pulsar el botón OK.

¡¡¡Advertencia!!!
1. Cada red wireless maneja su contraseña diferente, agregar las contraseñas de cada una de
las redes a conectar cuando se intente conectar a esta.
2. Los modos en los cuales se cuenta con una contraseña ASCII se encontraran con los
paréntesis (Passphrase). Los otros utilizan el mismo algoritmo de encriptación de las claves
pero se utilizan otros sistemas de escritura diferentes al ASCII o llaves compartidas.

3. Las encriptaciones soportadas son:

4. Las contraseñas son sensibles a mayúsculas. Si no conoce la contraseña diríjase al
administrador de red.