Hacking en redes de datos IPv6: Neighbor Spoofing

Iniciado por kity54, Febrero 04, 2015, 04:49:15 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

El primer ataque en redes de datos IPv6 por su sencillez e impacto que debe tenerse en consideración es  el de Neighbor Spoofing. Su funcionamiento es prácticamente análogo a ARP Spoofing, y de igual manera permite realizar ataques man in the middle.

Neighbor Spoofing
Para descubrir a los vecinos de una red se utiliza el protocolo NDP (Neighbor Discovery Protocol). Este subconjunto de mensajes ICMPv6 cuenta con dos que convierten la dirección IPv6 a una dirección de enlace local (Local-Link) que en las redes de datos de area local será la dirección MAC.

El funcionamiento habitual es que un equipo envíe un mensaje de Neightbor Solicitation NS a una dirección multicast cuando vaya a comunicarse con un equipo y que el que tenga esa dirección IPv6 responda al mensaje multicast con un mensaje unicast de Neighbor Advertisement NA con su dirección física MAC. El receptor del mensaje NA almacenará en la la tabla de vecinos la dirección IPv6 y la dirección MAC asociada.

Sin embargo, al igual que con el protocolo ARP en IPv4, un atacante puede enviar un mensaje NA sin haber recibido el mensaje previo de NS y hacer hacer que en la caché de la tabla de vecinos se almacene el registro. Un ataque de Neighbor Spoofing para hacer man in the middle se basará por tanto en enviar un mensaje NA a los dos equipos a los que se quiere hacer el ataque, poniendo en ambos la dirección IPv6 del otro, y la dirección MAC del atacante.

Paquete NA enviado spoofeando la IPv6 fe80::f47c:d2ae:b534:40b2

Paquete NA enviado spoofeando la IPv6 fe80::f95c:b7c5:ea34:d3ff

El ataque se realiza spoofeando la dirección IPv6 de origen del paquete, para simular ser un mensaje que viene del otro equipo víctima, pero en ambos casos se pone la dirección MAC del atacante, para conseguir que el switch de comunicaciones haga llegar todos los mensajes a la máquina del hombre en medio.

Parasite6 (The Hacking Choice)

Una de las herramientas que implementa estos ataques es parasite6, de The Hacker Choice (THC). Esta herramienta está incluida en BackTrack. Por defecto la herramienta realiza man in the middle entre todos los equipos IPv6 que descubre por la red, por lo que ponerla activa en una red de datos en la que hay IPv6 es meter un auténtico parásito. Los pasos para que funcione con la configuración por defecto son:

    1) Poner primero una dirección IPv6 en el interfaz de red de BackTrack que esté en la red en que se va a hacer el ataque.

Código: php
     - ifconfig eth0 inet6 add [ipv6] 


   2) Arrancar parasite6

Código: php
    - parasite6 eth0


Activando parasite6 en Bactrack

    3) Configurar el enrutamiento

Código: php
- sysctl -w net.ipv6.conf.all.forwarding=1


Activación del enrutamiento en IPv6


    4) Activar un sniffer (Wireshark) y analizar los paquetes.

A partir de ese momento, se empezarán a enviar mensajes NA para hacer man in the middle en las direcciones IPv6 que se detecten y se envenenarán las tablas de vecinos de todos ellos.

Direcciones IPv6 apuntando todas a la dirección MAC del equipo con parasite6

Por desgracia, el número de herramientas que analizan los flujos sobre IPv6 no son muchos, y no contamos con muchos filtros que recompongan ficheros transmitidos o analicen sesiones, por lo que el trabajo hay que hacerlo a día de hoy un poco manualmente.

Scapy Project

Otra herramienta que se puede utilizar para crear los paquetes es Scapy, escrita en Python y que permite configurar cualquier tipo de paquete de red, incluidos los de IPv6. Esta utilidad es perfecta para automatizar ataques con scripts, e implementar todos los ataques que se conocen hoy en día.

  Scapy en Linux

Puedes descargar la herramienta desde la web de  No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Evil FOCA

En Evil FOCA hemos implementado el ataque de Neighbor Spoofing y basta con seleccionar los equipos a los que se quiere hacer man in the middle para que la herramienta envíe los paquetes NA adecuados.

Man in the middle con Neighbor Spoofing usando Evil FOCA

Utilizando Evil FOCA es posible capturar los ficheros transmitidos una red de area local en la que se esté utilizando IPv6

fuente: elladodelmal

Saludoss


Muy buen material, gracias por el aporte. Solo una aclaración...

CitarEste subconjunto de mensajes ICMPv6 cuenta con dos que convierten la dirección IPv6 a una dirección de enlace local (Local-Link) que en las redes de datos de área local será la dirección MAC.

La dirección Link-local no es la MAC Address, mejor dicho seria que: "Se deriva de la MAC Address"

Pero reitero, muy buen aporte, gracias por postear.
El talento se parece al tirador que da en un blanco que los demás no pueden alcanzar; el genio se parece al tirador que da en un blanco que los demás no pueden ver.


Me sumo al agradecimiento de Cl0udswX, muy buen aporte bro!
Sigue asi!!

Saludos!
ANTRAX



Muy buena explicación y bastante entendible si conoces un poco de teoría de redes y protocolos.