El primer ataque en redes de datos
IPv6 por su sencillez e impacto que debe tenerse en consideración es el de
Neighbor Spoofing. Su funcionamiento es prácticamente análogo a A
RP Spoofing, y de igual manera permite realizar ataques
man in the middle.Neighbor SpoofingPara descubrir a los vecinos de una red se utiliza el protocolo
NDP (Neighbor Discovery Protocol). Este subconjunto de mensajes
ICMPv6 cuenta con dos que convierten la dirección IPv6 a una dirección de enlace local (Local-Link) que en las redes de datos de area local será la dirección
MAC.El funcionamiento habitual es que un equipo envíe un mensaje de
Neightbor Solicitation NS a una dirección multicast cuando vaya a comunicarse con un equipo y que el que tenga esa dirección IPv6 responda al mensaje multicast con un mensaje unicast de
Neighbor Advertisement NA con su dirección física MAC. El receptor del mensaje NA almacenará en la la tabla de vecinos la dirección IPv6 y la dirección MAC asociada.
Sin embargo, al igual que con el protocolo
ARP en
IPv4, un atacante puede enviar un mensaje NA sin haber recibido el mensaje previo de NS y hacer hacer que en la caché de la tabla de vecinos se almacene el registro. Un ataque de
Neighbor Spoofing para hacer man in the middle se basará por tanto en enviar un mensaje NA a los dos equipos a los que se quiere hacer el ataque, poniendo en ambos la dirección IPv6 del otro, y la dirección MAC del atacante.
Paquete NA enviado spoofeando la IPv6 fe80::f47c:d2ae:b534:40b2
Paquete NA enviado spoofeando la IPv6 fe80::f95c:b7c5:ea34:d3ff El ataque se realiza spoofeando la dirección IPv6 de origen del paquete, para simular ser un mensaje que viene del otro equipo víctima, pero en ambos casos se pone la dirección MAC del atacante, para conseguir que el switch de comunicaciones haga llegar todos los mensajes a la máquina del hombre en medio.
Parasite6 (The Hacking Choice)Una de las herramientas que implementa estos ataques es
parasite6, de The Hacker Choice (THC). Esta herramienta está incluida en BackTrack. Por defecto la herramienta realiza man in the middle entre todos los equipos IPv6 que descubre por la red, por lo que ponerla activa en una red de datos en la que hay IPv6 es meter un auténtico parásito. Los pasos para que funcione con la configuración por defecto son:
1) Poner primero una dirección IPv6 en el interfaz de red de BackTrack que esté en la red en que se va a hacer el ataque.
- ifconfig eth0 inet6 add [ipv6]
2) Arrancar parasite6
- parasite6 eth0
Activando parasite6 en Bactrack 3) Configurar el enrutamiento
- sysctl -w net.ipv6.conf.all.forwarding=1
Activación del enrutamiento en IPv6 4) Activar un sniffer
(Wireshark) y analizar los paquetes.
A partir de ese momento, se empezarán a enviar mensajes NA para hacer man in the middle en las direcciones IPv6 que se detecten y se envenenarán las tablas de vecinos de todos ellos.

D
irecciones IPv6 apuntando todas a la dirección MAC del equipo con parasite6Por desgracia, el número de herramientas que analizan los flujos sobre IPv6 no son muchos, y no contamos con muchos filtros que recompongan ficheros transmitidos o analicen sesiones, por lo que el trabajo hay que hacerlo a día de hoy un poco manualmente.
Scapy ProjectOtra herramienta que se puede utilizar para crear los paquetes es Scapy, escrita en Python y que permite configurar cualquier tipo de paquete de red, incluidos los de IPv6. Esta utilidad es perfecta para automatizar ataques con scripts, e implementar todos los ataques que se conocen hoy en día.
Scapy en Linux
Puedes descargar la herramienta desde la web de
Scapy ProjectEvil FOCAEn Evil FOCA hemos implementado el ataque de
Neighbor Spoofing y basta con seleccionar los equipos a los que se quiere hacer man in the middle para que la herramienta envíe los paquetes NA adecuados.
Man in the middle con Neighbor Spoofing usando Evil FOCAUtilizando Evil FOCA es posible capturar los ficheros transmitidos una red de area local en la que se esté utilizando IPv6
fuente: elladodelmal
Saludoss