Ataques en redes de datos IPv4 e IPv6 - Atacando por capas
www.onlinetis.com
Atacando por capas
Identificación y ataques a dispositivos de red
Un dispositivo de red es cualquier equipo conectado a una red informática. En esencia, son los componentes básicos de la infraestructura de red. Hay dos categorías principales: dispositivos de infraestructura de red y dispositivos de usuario final.
Dispositivos de infraestructura de red
Estos dispositivos gestionan el flujo de datos y la conectividad en la red.
Routers: Dirigen el tráfico de red entre diferentes redes. Su función principal es enrutar paquetes de datos a su destino más eficiente.
Switches: Conectan dispositivos dentro de la misma red local (LAN). A diferencia de los hubs, los switches envían datos a un puerto específico en lugar de a todos los puertos, lo que mejora la eficiencia.
Hubs: Dispositivos más antiguos y menos eficientes que los switches. Reenvían los datos a todos los dispositivos conectados.
Firewalls: Actúan como una barrera de seguridad, filtrando el tráfico de red entrante y saliente según reglas de seguridad predefinidas.
Puntos de acceso inalámbrico (WAP): Permiten que los dispositivos inalámbricos se conecten a una red cableada.
Dispositivos de usuario final
Estos son los dispositivos que usan las personas para acceder a la red.
Computadoras (PCs, laptops): Usan la red para acceder a internet, compartir archivos, etc.
Servidores: Proporcionan servicios a otros dispositivos en la red, como alojamiento de sitios web o almacenamiento de datos.
Teléfonos móviles y tablets: Se conectan a la red a través de Wi-Fi o datos móviles.
Impresoras de red: Permiten la impresión remota desde múltiples dispositivos.
Ataques comunes a dispositivos de red
Los atacantes se enfocan en estos dispositivos para interrumpir servicios, robar datos o ganar acceso a la red.
Ataques de denegación de servicio (DoS/DDoS): Inundan el dispositivo de red (a menudo un router o servidor) con tráfico para sobrecargarlo, impidiendo que los usuarios legítimos accedan a él.
Ataques de fuerza bruta: Intentan adivinar las credenciales de acceso (nombres de usuario y contraseñas) de un dispositivo de red. Estos ataques pueden ser exitosos si las contraseñas son débiles o predeterminadas.
Ataques de hombre en el medio (MitM): El atacante se sitúa entre dos dispositivos que se comunican, interceptando y a veces alterando la información que fluye entre ellos.
Malware y backdoors: Los atacantes pueden explotar vulnerabilidades de software para instalar malware o puertas traseras que les dan control remoto sobre el dispositivo.
Ataques a VLAN (Virtual Local Area Network): Un atacante en una VLAN puede intentar saltar a otra VLAN para acceder a recursos restringidos.
Ataques de suplantación de identidad (Spoofing): El atacante falsifica su identidad (por ejemplo, su dirección IP o MAC) para engañar al dispositivo de red y obtener acceso.
Medidas de protección
Para mitigar estos ataques, se deben implementar las siguientes medidas de seguridad.
Actualizaciones de firmware: Mantener el software de los dispositivos de red actualizado para corregir vulnerabilidades conocidas.
Contraseñas fuertes: Usar contraseñas complejas y únicas, y cambiarlas regularmente.
Configuración de seguridad: Deshabilitar servicios y puertos innecesarios, y usar firewalls para filtrar el tráfico no deseado.
Segmentación de red: Dividir la red en segmentos más pequeños (VLANs) para limitar el movimiento lateral de un atacante.
Detección de intrusos (IDS/IPS): Usar sistemas que monitorean la red en busca de actividad maliciosa.
Ataque en la capa de enlace
Un ataque en la capa de enlace de datos (capa 2 del modelo OSI) es una ciberamenaza que explota las vulnerabilidades de los protocolos que operan en una red de área local (LAN). A diferencia de los ataques a capas superiores, estos se enfocan en la infraestructura de la red local, como switches y hubs, para interceptar o manipular el tráfico antes de que llegue a los dispositivos finales.
Tipos de ataques en la capa de enlace
Envenenamiento ARP (ARP Spoofing): Es uno de los ataques más comunes y peligrosos. El Protocolo de Resolución de Direcciones (ARP) asocia direcciones IP (capa 3) con direcciones MAC (capa 2). Un atacante envía mensajes ARP falsos a la red, engañando a los dispositivos para que asocien la dirección IP de otro dispositivo (como el router) con la dirección MAC del atacante. Esto le permite interceptar todo el tráfico que pasa entre los dos dispositivos.
Inundación de MAC (MAC Flooding): Este ataque satura la tabla de direcciones MAC del switch (la tabla CAM) con un gran número de direcciones MAC falsas. Cuando la tabla se llena, el switch no puede aprender más direcciones y entra en un estado de fallo abierto, comportándose como un hub. Esto significa que reenvía todo el tráfico a todos los puertos, permitiendo al atacante capturar todo el tráfico de la red, incluyendo datos sensibles.
Suplantación de DHCP (DHCP Spoofing): El atacante se hace pasar por un servidor DHCP legítimo. Cuando un cliente intenta obtener una dirección IP, el atacante responde primero con una dirección IP falsa y otras configuraciones de red maliciosas, como la puerta de enlace predeterminada o el servidor DNS. Esto puede redirigir el tráfico del cliente a través del dispositivo del atacante, permitiendo un ataque de tipo "Man-in-the-Middle" (MitM) o un ataque de "Denegación de Servicio" (DoS).
Ataque de hambruna DHCP (DHCP Starvation): Un atacante envía una gran cantidad de solicitudes DHCP al servidor con direcciones MAC de origen falsificadas. El objetivo es agotar todas las direcciones IP disponibles en el servidor DHCP, lo que impide que los nuevos clientes legítimos se unan a la red. Este ataque a menudo se usa como preludio a un ataque de suplantación de DHCP, ya que una vez que el servidor legítimo no tiene direcciones para ofrecer, el atacante puede intervenir con su propio servidor.
Ataque de desautenticación Wi-Fi (Deauthentication Attack): En redes inalámbricas, un atacante envía tramas de desautenticación falsificadas a un punto de acceso (AP) o a un cliente. Esto obliga al cliente a desconectarse de la red. Si el atacante tiene un punto de acceso malicioso, el cliente puede intentar reconectarse a este, permitiendo que el atacante capture el "handshake" y lo use para descifrar la clave de la red.
Medidas de mitigación
Para protegerse de estos ataques, se pueden implementar varias medidas de seguridad en los switches y dispositivos de red:
Inspección dinámica ARP (DAI): Verifica la validez de los mensajes ARP para prevenir el envenenamiento ARP.
Seguridad de puertos (Port Security): Limita el número de direcciones MAC permitidas en un puerto del switch, lo que protege contra la inundación de MAC.
Inspección DHCP (DHCP Snooping): Filtra los mensajes DHCP no autorizados para prevenir los ataques de suplantación y hambruna.
VLANs (Redes de Área Local Virtual): Segmentan la red para limitar el alcance de un ataque de capa 2, impidiendo que se propague por toda la infraestructura.
Ataque en la capa de red
Un ataque en la capa de red (capa 3 del modelo OSI) explota las vulnerabilidades del Protocolo de Internet (IP) y sus protocolos asociados, como el Protocolo de Mensajes de Control de Internet (ICMP). Estos ataques se enfocan en los routers y otros dispositivos de red para manipular el flujo de tráfico, ocultar la identidad del atacante o generar una denegación de servicio.
Tipos de Ataques en la Capa de Red
Suplantación de IP (IP Spoofing): Es una de las técnicas más comunes. El atacante falsifica la dirección IP de origen en los paquetes de red para hacerse pasar por otro host. Esto le permite evadir filtros de seguridad, ocultar su identidad o redirigir el tráfico para realizar otros ataques, como inundaciones de paquetes en ataques de denegación de servicio (DoS/DDoS).
Ataque de Fragmentación IP: Este ataque explota el mecanismo de fragmentación de IP, que divide los paquetes grandes en fragmentos más pequeños para la transmisión. El atacante envía fragmentos maliciosos o superpuestos que el sistema de destino no puede reensamblar correctamente, lo que puede causar fallos en la red o un bloqueo del sistema. Un ejemplo de esto es el obsoleto pero notorio "Ping de la Muerte", donde se enviaba un paquete ICMP (ping) con un tamaño superior al máximo permitido (65,535 bytes), causando un desbordamiento de búfer y el reinicio o caída del sistema.
Ataque de Inundación ICMP (Ping Flood): Un ataque DoS que sobrecarga un sistema o red con una gran cantidad de paquetes de eco ICMP ("pings"). El sistema de destino se ve abrumado al tener que responder a cada solicitud, lo que consume sus recursos y lo hace inaccesible para el tráfico legítimo.
Ataque Smurf: Este ataque DDoS utiliza el protocolo ICMP para inundar a una víctima. El atacante envía paquetes de eco ICMP a una dirección de difusión de la red con la dirección IP de la víctima como origen suplantado. Todos los dispositivos de la red responden con un paquete de eco a la víctima, amplificando el ataque de forma masiva.
Medidas de Mitigación
Para protegerse de los ataques a la capa de red, es crucial implementar las siguientes medidas:
Filtrado de Paquetes: Los routers y firewalls deben configurarse para bloquear paquetes con direcciones IP de origen suplantadas que provienen de la red externa.
Actualizaciones de Software: Mantener los sistemas operativos y el firmware de los dispositivos de red actualizados para parchar las vulnerabilidades conocidas.
Sistemas de Detección/Prevención de Intrusos (IDS/IPS): Estas herramientas pueden monitorear el tráfico de red en busca de patrones de ataques de fragmentación o inundaciones y tomar medidas para bloquearlos.
Control de Tráfico ICMP: Se pueden aplicar reglas en los firewalls para limitar o bloquear el tráfico ICMP de fuentes no confiables, mitigando los ataques de inundación de ping.
Ataque en la capa de aplicación
Un ataque en la capa de aplicación (capa 7 del modelo OSI) explota las vulnerabilidades del software y los protocolos utilizados por las aplicaciones de red, como navegadores web, servidores de correo electrónico o bases de datos. A diferencia de los ataques a las capas inferiores, estos no se centran en el hardware de red, sino en el código de las aplicaciones para manipular su comportamiento, robar datos o interrumpir servicios.
Tipos de Ataques en la Capa de Aplicación
Inyección SQL: Este ataque se dirige a aplicaciones web que se comunican con bases de datos. El atacante inserta código malicioso en los campos de entrada de un formulario (por ejemplo, un campo de inicio de sesión) para manipular la consulta SQL subyacente. Esto puede permitir al atacante eludir la autenticación, acceder a datos confidenciales, modificarlos o incluso eliminarlos.
Ejemplo: En lugar de ingresar un nombre de usuario, el atacante escribe
' OR 1=1; --
. La consulta SQL resultante podría serSELECT * FROM users WHERE username='' OR 1=1; --'
. ElOR 1=1
siempre es verdadero, y--
es un comentario, lo que hace que la consulta ignore el resto de la sintaxis y devuelva todos los registros, concediendo acceso.
Secuencias de Comandos en Sitios Cruzados (XSS): El atacante inyecta código malicioso (generalmente JavaScript) en una página web. Cuando un usuario visita la página, su navegador ejecuta el código malicioso. Esto puede usarse para robar cookies de sesión, secuestrar cuentas, redirigir al usuario a sitios fraudulentos o robar información. Existen tres tipos principales de XSS:
Almacenado: El código malicioso se almacena en el servidor web (por ejemplo, en un comentario de blog).
Reflejado: El código malicioso se envía en una URL y se refleja en la página web.
Basado en DOM: El ataque explota una vulnerabilidad en el código JavaScript del lado del cliente.
Ataques de Denegación de Servicio de Aplicación (DDoS): A diferencia de los ataques DDoS a la capa de red, estos ataques se centran en la aplicación en sí. El atacante envía solicitudes complejas y computacionalmente costosas (como consultas de búsqueda o subidas de archivos grandes) para agotar los recursos del servidor de la aplicación (CPU, memoria), haciendo que deje de responder a las solicitudes de usuarios legítimos.
Inclusión de Archivos Remotos (RFI) y Locales (LFI): En este ataque, el atacante aprovecha una vulnerabilidad en la aplicación web para incluir un archivo en el servidor.
RFI: El atacante fuerza a la aplicación a cargar y ejecutar un archivo desde una ubicación remota (por ejemplo, desde un servidor del atacante).
LFI: El atacante fuerza a la aplicación a incluir un archivo que ya está en el servidor, pero que no debería ser accesible, como un archivo de contraseñas.
Envenenamiento de Cookies y Sesiones: El atacante manipula los datos de una cookie para obtener privilegios en la aplicación o secuestrar una sesión de usuario. Las sesiones no protegidas pueden ser interceptadas o adivinadas, permitiendo que el atacante asuma la identidad del usuario.
Medidas de Mitigación
Validación de Entradas: Filtrar y sanitizar todas las entradas de usuario para prevenir la inyección de código malicioso.
Parches de Seguridad: Mantener todas las aplicaciones y frameworks actualizados con los últimos parches de seguridad para corregir vulnerabilidades conocidas.
Principios de Mínimo Privilegio: Limitar los permisos de las cuentas de las aplicaciones en la base de datos para reducir el daño de una inyección SQL exitosa.
Firewalls de Aplicaciones Web (WAF): Actúan como una barrera de seguridad entre los usuarios de internet y la aplicación web, filtrando el tráfico malicioso y protegiendo contra los ataques más comunes de la capa de aplicación.
Uso de HTTPS: Cifrar la comunicación entre el cliente y el servidor para proteger las cookies y los datos de sesión.
Rogue DHCP
Un servidor DHCP no autorizado (o Rogue DHCP) es un servidor que no ha sido aprobado por el administrador de la red pero que, sin embargo, está respondiendo a las solicitudes de DHCP de los clientes. Esto representa una seria amenaza de seguridad, ya que los atacantes pueden utilizarlo para controlar la configuración de red de los dispositivos de la red.
¿Cómo funciona un ataque de DHCP no autorizado?
El servidor DHCP no autorizado entra en acción: Un atacante instala y configura un servidor DHCP en su propia máquina. Este servidor está programado para responder a las solicitudes de los clientes de manera más rápida que el servidor DHCP legítimo.
El cliente envía una solicitud de DHCP: Un nuevo dispositivo se conecta a la red y envía un paquete de difusión (broadcast) solicitando una dirección IP a cualquier servidor DHCP disponible.
El atacante responde primero: El servidor DHCP no autorizado responde a la solicitud del cliente antes que el servidor legítimo.
El cliente acepta la oferta maliciosa: El cliente acepta la primera oferta que recibe. El atacante le asigna una dirección IP, una máscara de subred, y lo más importante, una puerta de enlace predeterminada y un servidor DNS falsos.
El tráfico se redirige: A partir de ese momento, el cliente envía todo su tráfico de red a la puerta de enlace predeterminada del atacante. El atacante ahora puede:
Realizar un ataque de "Hombre en el Medio" (MitM): Interceptar, monitorear y modificar todo el tráfico del cliente.
Redirigir a sitios maliciosos: Enviar al usuario a sitios web fraudulentos o de phishing a través del servidor DNS falso.
Denegar el servicio: Asignar una dirección IP que no funcione o redirigir el tráfico a un "agujero negro" (blackhole) para evitar que el usuario se conecte.
¿Cómo prevenir y mitigar un ataque de DHCP no autorizado?
Detección:
Monitoreo de red: Los administradores de red deben monitorear constantemente los mensajes DHCP para detectar servidores no autorizados.
Uso de herramientas de detección: Herramientas como
DHCP-snooping
en switches Cisco o funciones similares en otros equipos de red pueden detectar y bloquear automáticamente las respuestas DHCP de servidores no autorizados.
Prevención:
Inspección de DHCP (DHCP Snooping): Esta es la mejor defensa. Se configura en los switches para filtrar los mensajes DHCP no autorizados. Los puertos que se conectan a servidores DHCP legítimos se marcan como "de confianza", mientras que los demás se marcan como "no confiables". El switch solo reenviará las ofertas de DHCP que provengan de puertos de confianza.
Seguridad física: Limitar el acceso físico a los puertos de red y a los dispositivos de red para evitar que un atacante conecte un servidor DHCP.
Autenticación en la red: Implementar protocolos de autenticación como 802.1X para que solo los dispositivos aprobados puedan conectarse y recibir una dirección IP.
Network Packet Manipulation
La manipulación de paquetes de red, o "Network Packet Manipulation", es la alteración de los paquetes de datos que viajan a través de una red informática. Esto se hace para modificar su contenido, dirección, o cualquier otro atributo con fines que pueden ser tanto maliciosos (ciberataques) como éticos (análisis de seguridad y pruebas de penetración).
¿Cómo funciona?
Los paquetes de red son la unidad fundamental de datos transmitidos por internet. Cada paquete contiene la información que se envía, junto con una cabecera que incluye datos de control como la dirección IP de origen y destino, el puerto, y el número de secuencia. La manipulación de paquetes implica interceptar este flujo de datos, modificar una o más partes del paquete y luego reenviarlo a su destino.
Tipos de ataques comunes que usan la manipulación de paquetes
Suplantación de IP (IP Spoofing): El atacante falsifica la dirección IP de origen en la cabecera del paquete para hacerse pasar por otro dispositivo. Esto se usa para evadir firewalls o para realizar ataques de denegación de servicio distribuidos (DDoS), haciendo que el tráfico malicioso parezca venir de una fuente legítima.
Envenenamiento ARP (ARP Spoofing): El atacante envía mensajes ARP falsos a la red local para asociar su propia dirección MAC con la dirección IP de otro dispositivo, como el router. Esto le permite interceptar y manipular todo el tráfico que pasa entre el objetivo y el router.
Ataques de fragmentación IP: Los atacantes envían paquetes IP fragmentados con datos maliciosos o superpuestos para explotar fallas en la forma en que el sistema de destino reensambla los paquetes, lo que puede causar un bloqueo o reinicio del sistema.
Secuestro de sesiones: El atacante intercepta y roba la cookie de sesión de un usuario para tomar el control de su sesión web sin necesidad de credenciales. Una vez que tiene el control, puede manipular el tráfico de la sesión a voluntad.
Herramientas para la manipulación y análisis de paquetes
Wireshark: Es un analizador de protocolos de red muy popular. Aunque se utiliza principalmente para analizar el tráfico de red con fines de diagnóstico y seguridad, puede capturar paquetes en vivo para su inspección.
Scapy: Una herramienta de Python que permite a los usuarios construir, enviar, capturar y manipular paquetes de red. Es muy flexible y se utiliza a menudo para pruebas de penetración y desarrollo de herramientas personalizadas.
Tcpdump: Una herramienta de línea de comandos para capturar paquetes de red en tiempo real. Es útil para administradores de sistemas que necesitan inspeccionar el tráfico rápidamente.
Cómo protegerse
Cifrado de extremo a extremo: El uso de protocolos como HTTPS o VPNs cifra la carga útil de los paquetes, haciendo que sea imposible para un atacante ver o modificar los datos sin la clave de descifrado.
Filtrado de paquetes: Los firewalls pueden ser configurados para bloquear paquetes que parecen haber sido alterados, como los que tienen direcciones IP de origen falsificadas (filtrado de entrada/egress).
Inspección de DHCP y ARP: Las funciones de seguridad en los switches, como la inspección de DHCP y ARP (DHCP/ARP Snooping), pueden prevenir ataques de suplantación al verificar la validez de los mensajes.
Sistemas de Detección de Intrusos (IDS/IPS): Estos sistemas monitorean el tráfico de la red para detectar patrones de ataque de manipulación de paquetes y pueden tomar medidas para bloquear el tráfico malicioso.
Aplicando NPM sobre Wordpress
Aunque no se puede "aplicar ettercap a WordPress" directamente, un atacante podría usar ettercap como parte de un ataque más amplio. Por ejemplo:
El atacante utiliza ettercap para realizar un ataque de ARP Spoofing y colocar su máquina entre la víctima y el router.
El atacante usa un ataque de DNS Spoofing con ettercap para redirigir a la víctima a un sitio web de WordPress falso.
El sitio falso de WordPress solicita al usuario que ingrese sus credenciales.
El atacante captura las credenciales que el usuario ingresa en el sitio falso. Este es un ejemplo de un ataque de phishing que utiliza ettercap en las capas inferiores para facilitar un ataque en la capa de aplicación.
En resumen, ettercap es una herramienta para la capa de red y WordPress es una aplicación. La relación entre ellos es indirecta y solo ocurre en escenarios en los que el atacante usa ettercap para manipular el tráfico de la red y así facilitar un ataque contra los usuarios de un sitio de WordPress.
Evilgrade y los ataques de actualización
En el mundo de la ciberseguridad, la combinación de herramientas y técnicas puede crear ataques muy efectivos y peligrosos. Una de estas combinaciones es el uso de Evilgrade junto con un ataque Man-in-the-Middle (MITM) mediante ARP Spoofing para llevar a cabo ataques de actualización. A continuación, se detalla cómo funciona esta cadena de ataque.
¿Qué es cada componente?
ARP Spoofing (Envenenamiento ARP): Es una técnica utilizada en redes locales para que un atacante pueda interceptar los datos entre dos dispositivos, como por ejemplo, tu ordenador y el router. El atacante envía mensajes ARP (Protocolo de Resolución de Direcciones) falsos a la red. Estos mensajes asocian la dirección IP de un dispositivo legítimo (como el router) con la dirección MAC (la dirección física única de una tarjeta de red) del atacante. Como resultado, todo el tráfico que debería ir al router pasa primero por el equipo del atacante.
Man-in-the-Middle (MITM): Una vez que el ARP Spoofing ha tenido éxito, el atacante se encuentra en una posición de "hombre en el medio". Esto significa que puede ver, modificar o bloquear todo el tráfico que fluye entre la víctima y el destino (por ejemplo, internet). El atacante se convierte en un intermediario invisible. Para llevar a cabo esta fase, se suelen utilizar frameworks como MITMf (Man-in-the-Middle Framework).
Evilgrade: Es un framework modular que aprovecha las malas configuraciones en los mecanismos de actualización de diversas aplicaciones. Muchos programas buscan actualizaciones de forma automática y, a menudo, lo hacen a través de conexiones no cifradas (HTTP en lugar de HTTPS). Evilgrade explota esta vulnerabilidad. Cuando un programa en el ordenador de la víctima busca una actualización, Evilgrade intercepta esa solicitud (gracias al ataque MITM) y le envía una actualización falsa que en realidad es un malware (como un troyano, ransomware, etc.).
La cadena del ataque: Paso a paso
Envenenamiento de la red (ARP Spoofing): El atacante, conectado a la misma red que la víctima (por ejemplo, una red Wi-Fi pública o una red corporativa comprometida), utiliza una herramienta para realizar ARP Spoofing. El objetivo es engañar al ordenador de la víctima para que piense que el atacante es el router, y engañar al router para que piense que el atacante es el ordenador de la víctima.
Intercepción del tráfico (MITM): Con el envenenamiento ARP en marcha, todo el tráfico de la víctima pasa a través del dispositivo del atacante. En esta fase, el atacante utiliza herramientas dentro de un framework MITM para analizar y manipular el tráfico.
El ataque de actualización (Evilgrade): El atacante activa Evilgrade y lo configura para que esté a la escucha de solicitudes de actualización de programas vulnerables (como versiones antiguas de Java, Winamp, Skype, etc.). Cuando la víctima abre uno de estos programas y este busca una nueva versión, la solicitud es interceptada por el atacante.
Entrega de la carga maliciosa: Evilgrade responde a la solicitud de actualización haciéndose pasar por el servidor legítimo. En lugar de enviar la actualización real, envía un paquete de software malicioso preparado por el atacante.
Infección: El usuario, confiando en que se trata de una actualización legítima, la instala. En ese momento, el sistema de la víctima queda infectado con el malware, dando al atacante el control sobre el dispositivo, acceso a su información o la capacidad de realizar otras acciones maliciosas.
En resumen, el ARP Spoofing es la técnica que permite al atacante posicionarse en el medio de la comunicación. El framework MITM le da las herramientas para controlar ese tráfico, y Evilgrade es el arma específica que utiliza para explotar las solicitudes de actualización y entregar el malware. Este tipo de ataque subraya la importancia de que las aplicaciones utilicen siempre conexiones seguras y cifradas (HTTPS) para las actualizaciones de software.
Bettercap
Bettercap es una herramienta de ciberseguridad muy popular que se utiliza para realizar auditorías de red y ataques de "Man-in-the-Middle" (MitM). Es conocida por su versatilidad y sus múltiples módulos que permiten realizar una gran variedad de tareas.
Aquí tienes algunos ejemplos de cómo se puede usar Bettercap:
1. Escaneo de red
Puedes utilizar Bettercap para descubrir todos los dispositivos conectados a tu red, incluyendo sus direcciones IP, direcciones MAC y nombres de host.
Comando:
net.probe on
Descripción: Este comando inicia una sonda activa para descubrir hosts en la red.
Comando:
net.show
Descripción: Muestra una lista de todos los dispositivos que Bettercap ha descubierto.
2. Ataque de "Man-in-the-Middle" (MitM)
Uno de los usos más comunes de Bettercap es la suplantación de identidad ARP (ARP spoofing) para interceptar el tráfico entre un objetivo y el router.
Comando:
set arp.spoof.targets <dirección_IP_del_objetivo>
Descripción: Define la dirección IP del dispositivo que quieres atacar.
Comando:
arp.spoof on
Descripción: Inicia el ataque de suplantación de identidad ARP. Esto hará que el tráfico del objetivo fluya a través de tu máquina, permitiéndote monitorearlo.
3. Captura de credenciales
Bettercap puede actuar como un sniffer de red para capturar información sensible que no esté cifrada, como credenciales de acceso (nombre de usuario y contraseña).
Comando:
http.proxy on
Descripción: Inicia un proxy HTTP transparente para interceptar las solicitudes web.
Comando:
http.sniff on
Descripción: Activa el sniffer para analizar el tráfico que pasa por el proxy.
Nota: Este tipo de ataque solo funciona con tráfico no cifrado (HTTP), ya que la mayoría de los sitios web modernos utilizan HTTPS, que es seguro.
4. Creación de un punto de acceso falso (Rogue AP)
Bettercap puede ser usado para crear un punto de acceso Wi-Fi falso que imita una red legítima, lo que engaña a los usuarios para que se conecten a él.
Comando:
wifi.ap on
Descripción: Crea un punto de acceso falso.
Comando:
set wifi.ap.ssid <nombre_de_la_red>
Descripción: Define el nombre de la red (SSID) de tu punto de acceso falso.
5. Captura de "Handshakes" de Wi-Fi
Esta técnica se utiliza para capturar el "handshake" de cuatro vías de WPA/WPA2, que luego puede ser descifrado con herramientas como Hashcat o Aircrack-ng para obtener la contraseña de la red.
Comando:
wifi.recon on
Descripción: Comienza el reconocimiento de redes Wi-Fi cercanas.
Comando:
wifi.deauth <dirección_MAC_del_cliente>
Descripción: Envía paquetes de "desautenticación" para desconectar a un cliente de la red, lo que fuerza a que se vuelva a conectar y se capture el handshake.
Es crucial recordar que el uso de Bettercap para estos fines sin la autorización explícita del propietario de la red es ilegal y poco ético. Estos ejemplos están diseñados con fines educativos y para realizar pruebas de seguridad en redes propias o con permiso.