LabEx
Iniciar SesiónÚnete Gratis

Suplantar ARP en Ettercap

NmapNmapBeginner
Practicar Ahora

💡 Este tutorial está traducido por IA desde la versión en inglés. Para ver la versión original, puedes hacer clic aquí

Introducción

En este laboratorio, aprenderá cómo realizar ataques de suplantación ARP (ARP spoofing) utilizando Ettercap, una suite integral para ataques de hombre en el medio (man-in-the-middle). Explorará el descubrimiento de dispositivos de red con arp-scan y nmap, y luego practicará la intercepción del tráfico entre objetivos a través del envenenamiento ARP (ARP poisoning).

El ejercicio brinda experiencia práctica en la ejecución y monitoreo de ataques de suplantación ARP en un entorno controlado. Aprenderá comandos esenciales para cada fase del ataque mientras comprende las implicaciones de seguridad en el mundo real y las técnicas de mitigación.

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL nmap(("Nmap")) -.-> nmap/NmapGroup(["Nmap"]) wireshark(("Wireshark")) -.-> wireshark/WiresharkGroup(["Wireshark"]) hydra(("Hydra")) -.-> hydra/HydraGroup(["Hydra"]) nmap/NmapGroup -.-> nmap/installation("Installation and Setup") nmap/NmapGroup -.-> nmap/host_discovery("Host Discovery Techniques") nmap/NmapGroup -.-> nmap/service_detection("Service Detection") wireshark/WiresharkGroup -.-> wireshark/installation("Installation and Setup") wireshark/WiresharkGroup -.-> wireshark/packet_capture("Packet Capture") wireshark/WiresharkGroup -.-> wireshark/packet_analysis("Packet Analysis") hydra/HydraGroup -.-> hydra/installation("Installation and Setup") subgraph Lab Skills nmap/installation -.-> lab-549950{{"Suplantar ARP en Ettercap"}} nmap/host_discovery -.-> lab-549950{{"Suplantar ARP en Ettercap"}} nmap/service_detection -.-> lab-549950{{"Suplantar ARP en Ettercap"}} wireshark/installation -.-> lab-549950{{"Suplantar ARP en Ettercap"}} wireshark/packet_capture -.-> lab-549950{{"Suplantar ARP en Ettercap"}} wireshark/packet_analysis -.-> lab-549950{{"Suplantar ARP en Ettercap"}} hydra/installation -.-> lab-549950{{"Suplantar ARP en Ettercap"}} end

Instalar Ettercap

En este paso, instalará Ettercap, una poderosa herramienta de seguridad de red utilizada para ataques de hombre en el medio (man-in-the-middle) en redes locales (LAN). Antes de comenzar, entendamos lo que hace Ettercap: te permite interceptar, analizar y modificar el tráfico de red entre dispositivos en la misma red. Esto incluye características como el envenenamiento ARP (que usaremos en este laboratorio), la captura de conexiones en vivo y diversas capacidades de análisis de red.

Primero, necesitamos actualizar la lista de paquetes en su sistema Linux. Esto asegura que instalará la versión más reciente de Ettercap disponible:

sudo apt update

El comando sudo te otorga privilegios de administrador, mientras que apt update actualiza la lista de paquetes de software disponibles en tu sistema.

A continuación, instalaremos Ettercap con este comando:

sudo apt install -y ettercap-text

Esto es lo que sucede en este comando:

  • sudo apt install es la forma estándar de instalar software en sistemas Debian/Ubuntu.
  • La bandera -y responde automáticamente "sí" a cualquier solicitud durante la instalación.
  • Estamos instalando específicamente ettercap-text (la versión solo de texto) porque:
    1. Es más estable para nuestro entorno de línea de comandos.
    2. Utiliza menos recursos del sistema que la versión gráfica.
    3. Es más adecuada para conexiones remotas y tareas automatizadas.

Después de que se complete la instalación, verifiquemos que todo funcione correctamente comprobando la versión instalada:

ettercap --version

Debería ver una salida que muestre el número de versión y la información de compilación, similar a:

Ettercap 0.8.3.1 (built on ...)

Esto confirma que Ettercap está instalado correctamente y listo para usar. A lo largo de este laboratorio, usaremos la interfaz de texto de Ettercap porque:

  • Es más confiable en el entorno de la máquina virtual LabEx.
  • Proporciona toda la funcionalidad que necesitamos para la suplantación ARP (ARP spoofing).
  • Te ayuda a sentirte cómodo con las herramientas de red de línea de comandos.

Identificar dispositivos objetivos

Antes de lanzar un ataque de suplantación ARP (ARP spoofing), primero necesitamos identificar posibles objetivos en nuestra red local. La suplantación ARP funciona engañando a los dispositivos para que crean que somos alguien más en la red, por lo que necesitamos saber qué dispositivos están realmente presentes. Utilizaremos dos herramientas esenciales de escaneo de red: arp-scan para el descubrimiento rápido de dispositivos y nmap para obtener información más detallada.

Primero, aseguremos que tenemos las herramientas necesarias instaladas. Ejecute este comando para instalar ambas utilidades:

sudo apt install -y arp-scan nmap

A continuación, necesitamos determinar qué interfaz de red nos conecta a la red local. En la mayoría de los casos, especialmente en la máquina virtual LabEx, esta será eth0. Para verificar sus interfaces disponibles y encontrar la correcta:

ip a

Busque la interfaz que tenga una dirección IP real asignada (no será la dirección de bucle interno 127.0.0.1). Esta es la interfaz que usaremos para el escaneo. Ahora podemos escanear nuestra red local para descubrir todos los dispositivos conectados:

sudo arp-scan --interface=eth0 --localnet

Este comando envía solicitudes ARP a todas las posibles direcciones IP en su subred y escucha las respuestas. Verá una salida que enumera todos los dispositivos activos, sus direcciones IP, direcciones MAC y, a veces, información del fabricante:

192.168.1.1   00:11:22:33:44:55   Router Manufacturer
192.168.1.2   aa:bb:cc:dd:ee:ff   Target Device

Para un examen más detallado de un objetivo específico, podemos usar nmap. Esto es especialmente útil para entender qué servicios se están ejecutando en el dispositivo objetivo:

sudo nmap -sV 192.168.1.2

La bandera -sV le dice a nmap que explore los puertos abiertos y determine la información del servicio/versión. Elija un dispositivo de los resultados de su escaneo como objetivo para el ataque de suplantación ARP (es una buena práctica evitar atacar infraestructuras de red como routers o puertas de enlace durante los ejercicios de aprendizaje).

Lanzar la suplantación ARP

En este paso, utilizará Ettercap para realizar la suplantación ARP (ARP spoofing) entre el dispositivo objetivo y el router. La suplantación ARP es una técnica en la que un atacante envía mensajes ARP falsos para asociar su dirección MAC con la dirección IP de otro dispositivo. Este ataque le permitirá interceptar el tráfico de red entre el objetivo y el router haciéndolos comunicarse a través de su máquina.

Antes de comenzar, necesita identificar tres piezas clave de información:

  1. El nombre de su interfaz de red (generalmente eth0 en la máquina virtual LabEx)
  2. La dirección IP del router/gateway (por ejemplo, 192.168.1.1)
  3. La dirección IP del dispositivo objetivo (por ejemplo, 192.168.1.2)

Para lanzar el ataque, abra su terminal y ejecute Ettercap en modo de texto con este comando:

sudo ettercap -T -i eth0 -M arp:remote /192.168.1.1// /192.168.1.2//

Desglosemos lo que hace cada parte de este comando:

  • sudo: Ejecuta el comando con privilegios de root (necesario para operaciones de red)
  • -T: Habilita la interfaz en modo de texto (en lugar de la gráfica)
  • -i eth0: Especifica qué interfaz de red utilizar
  • -M arp:remote: Activa el módulo de envenenamiento ARP
  • Los últimos dos argumentos especifican las direcciones IP del router y del objetivo en el formato /IP// (reemplace estos con sus direcciones IP reales)

Cuando el ataque se inicia correctamente, Ettercap mostrará una salida que muestra los dispositivos envenenados y sus direcciones MAC:

ARP poisoning victims:
 GROUP 1 : 192.168.1.1 00:11:22:33:44:55
 GROUP 2 : 192.168.1.2 AA:BB:CC:DD:EE:FF

Para confirmar que el ataque está funcionando, puede verificar la tabla ARP de su máquina con:

arp -a

Si tiene éxito, verá que tanto el router como el dispositivo objetivo ahora muestran la dirección MAC de su máquina en lugar de sus direcciones MAC reales. Esto significa que todo el tráfico entre ellos se está enrutando a través de su sistema.

Capturar tráfico suplantado

En este paso, capturará y analizará el tráfico de red que fluye entre el dispositivo objetivo y el router utilizando Wireshark y tcpdump. Esto demostrará la efectividad de su ataque de suplantación ARP (ARP spoofing). Cuando la suplantación ARP tiene éxito, todo el tráfico entre el objetivo y el router pasará a través de su máquina, lo que le permitirá inspeccionarlo.

Primero, instalemos Wireshark en modo de línea de comandos. Wireshark es un potente analizador de protocolos de red, y tshark es su contraparte de línea de comandos:

sudo apt install -y wireshark-common tshark

Antes de capturar el tráfico, es una buena práctica crear un directorio dedicado para sus archivos de captura. Esto mantiene su proyecto organizado y facilita encontrar los archivos más tarde:

mkdir -p ~/project/captures

Ahora usaremos tcpdump para capturar el tráfico de red real. Abra una nueva ventana de terminal para este comando, ya que se ejecutará continuamente hasta que se detenga. La bandera -i eth0 especifica la interfaz de red, y -w guarda la salida en un archivo:

sudo tcpdump -i eth0 -w ~/project/captures/spoofed_traffic.pcap

Deje que esto se ejecute durante unos minutos para capturar tráfico significativo. Durante este tiempo, se registrará la actividad de red normal entre el objetivo y el router. Cuando esté listo, presione Ctrl+C para detener la captura.

Para analizar el tráfico capturado, usaremos tshark. Este comando lee el archivo de captura y muestra un resumen de todos los paquetes capturados:

tshark -r ~/project/captures/spoofed_traffic.pcap

Para un análisis más enfocado, podemos filtrar específicamente el tráfico HTTP. Esto es útil para examinar solicitudes y respuestas web:

tshark -r ~/project/captures/spoofed_traffic.pcap -Y "http"

Es particularmente importante examinar las solicitudes POST, ya que a menudo contienen datos sensibles como credenciales de inicio de sesión. Este comando filtra solo esas solicitudes:

tshark -r ~/project/captures/spoofed_traffic.pcap -Y "http.request.method == POST"

Finalizar el ataque

En este paso, terminará adecuadamente el ataque de suplantación ARP (ARP spoofing) y restaurará las operaciones normales de la red. Este es un paso crítico para garantizar la integridad de la red después de su prueba de seguridad. La suplantación ARP deja la red en un estado alterado, por lo que necesitamos deshacer estos cambios con cuidado.

Primero, detenga el proceso de Ettercap. Si todavía está en la ventana de terminal de Ettercap, presione q para salir correctamente. Esto envía una señal de terminación adecuada a Ettercap. Si cerró la terminal, necesitamos encontrar y terminar manualmente el proceso:

sudo pkill -f ettercap

A continuación, necesitamos limpiar la caché ARP de su máquina para eliminar cualquier entrada envenenada. La caché ARP almacena mapeos de direcciones IP a MAC, y durante el ataque, estos se modificaron. El siguiente comando limpia completamente todas las entradas de vecinos/ARP:

sudo ip -s -s neigh flush all

Verifiquemos que la caché ARP se haya limpiado correctamente. Esto nos muestra las entradas actuales de la tabla ARP:

arp -a

La salida ahora debe mostrar las direcciones MAC correctas de los dispositivos en su red, coincidiendo con sus direcciones de hardware reales. Para garantizar una limpieza completa, reiniciaremos la interfaz de red. Esto restablece todas las configuraciones de red:

sudo ifconfig eth0 down && sudo ifconfig eth0 up

Finalmente, verifique que la conectividad de red se haya restaurado por completo realizando un ping a su gateway. Esto confirma que las operaciones normales de la red se han reanudado:

ping -c 4 192.168.1.1

Debería ver respuestas de ping normales sin pérdida de paquetes, lo que indica que la red está funcionando correctamente de nuevo. Si encuentra problemas, es posible que deba reiniciar los servicios de red o reiniciar los dispositivos afectados.

Resumen

En este laboratorio, has aprendido cómo ejecutar ataques de suplantación ARP (ARP spoofing) utilizando la interfaz de línea de comandos de Ettercap. El ejercicio te ha guiado a través de la instalación de Ettercap-text, la identificación de objetivos de red con arp-scan y nmap, y el lanzamiento de ataques de intermediario (MITM, Man-in-the-Middle) envenenando las cachés ARP.

Has practicado la intercepción del tráfico de red entre dispositivos suplantados y la terminación adecuada de los ataques para restaurar las operaciones normales. Este laboratorio ha demostrado técnicas esenciales de envenenamiento ARP mientras destaca la importancia del reconocimiento de red en las evaluaciones de ciberseguridad.

Relacionado Nmap Cursos
Inicio rápido con Nmap

Inicio rápido con Nmap

CybersecurityNmap
Principiante