Kali Linux IRPAS: Auditoría de Redes

 

 https://www.onlinetis.com

Kali Linux IRPAS: Auditoría de Redes

La suite IRPAS (Inter-Router Protocol Analysis Suite) es una colección de herramientas clásicas en Kali Linux diseñadas para auditar y analizar protocolos de enrutamiento. Aunque es una herramienta veterana, sigue siendo fundamental para entender cómo interactúan los routers y cómo se pueden explotar sus debilidades.

Aquí tienes un desglose de lo que es y para qué sirve cada una de sus utilidades principales en español.

¿Qué es IRPAS?

Es un kit de herramientas que permite a un auditor de red "hablar" los lenguajes que usan los routers (como RIP, EIGRP, o HSRP). Con esto, puedes descubrir rutas, interceptar tráfico o incluso redirigirlo.

Herramientas principales de la suite

HerramientaFunción PrincipalDescripción en Español
ass_snoopMonitor de Cisco ASSCaptura paquetes del protocolo Autonomous System Scanner de Cisco para identificar routers.
cdpManipulación de CDPEnvía paquetes Cisco Discovery Protocol falsos para obtener información de dispositivos vecinos.
hsrpAtaque a HSRPPermite inyectar paquetes para reclamar el rol de "Router Activo" en una red con redundancia.
icmp_redirRedirección ICMPEnvía mensajes ICMP para decirle a una víctima que use una ruta diferente (tu máquina) como puerta de enlace.
igrpInyector IGRPInyecta rutas falsas en tablas de enrutamiento que usen el protocolo antiguo de Cisco, IGRP.
irdpDescubrimiento de RoutersEnvía paquetes de anuncios de router para que los hosts de la red te configuren como su gateway por defecto.

Escenarios de uso comunes

1. El ataque de "Hombre en el medio" (MITM)

Utilizando irdp o hsrp, un atacante puede convencer a los computadores de la red de que su máquina es el router legítimo.

  • Resultado: Todo el tráfico de internet de las víctimas pasa por tu Kali antes de salir a la red real, permitiéndote sniffear contraseñas o datos sensibles.

2. Reconocimiento de topología

Con cdp, puedes descubrir qué modelos de routers hay en la red, qué versiones de software corren y en qué puertos están conectados, todo sin tener acceso administrativo.

3. Envenenamiento de rutas

Con rip_mod o igrp, puedes inyectar una ruta hacia una red inexistente o hacia una red que tú controlas, desviando el tráfico de la empresa hacia un destino malicioso.

Consideraciones importantes

  • Protocolos antiguos: Muchas de estas herramientas atacan protocolos que hoy en día tienen opciones de autenticación (como contraseñas en OSPF o EIGRP). Si la red está bien configurada, estas herramientas fallarán.

  • Entorno legal: IRPAS es extremadamente ruidoso. En un entorno real, los sistemas de detección de intrusos (IDS) lanzarán alertas de inmediato. Úsalo solo en laboratorios controlados o auditorías autorizadas.

Nota: Para ejecutar cualquiera de estas herramientas, simplemente abre tu terminal en Kali y escribe el nombre del comando (ej. cdp o hsrp). La mayoría te mostrará las opciones de ayuda necesarias para configurar los parámetros de red.


Vamos a enfocarnos en HSRP e ICMP Redirect, ya que son los ataques más "clásicos" de esta suite para interceptar tráfico.

1. Ataque de Redundancia con HSRP

El protocolo HSRP (Hot Standby Router Protocol) de Cisco sirve para que, si un router falla, otro tome su lugar automáticamente. El problema es que, si no hay autenticación, tu máquina con Kali puede decir: "Yo soy el router con la prioridad más alta".

Pasos para el ataque:

  1. Identificar el grupo: Primero debes saber qué IP virtual usa el grupo HSRP (por ejemplo, 192.168.1.1).

  2. Lanzar el comando:

    Bash
    hsrp -v -d 192.168.1.1 -g 1 -p 255 -i eth0

    • -d: La IP del router real.

    • -g: El número del grupo HSRP.

    • -p: La prioridad. Al poner 255 (el máximo), los demás routers se rinden y te dan el control a ti.

2. Redirección con ICMP Redirect

Este es un ataque más sutil. En lugar de pelear por ser el router principal, le envías un mensaje "informativo" a una víctima específica diciéndole: "Oye, para llegar a internet, hay una ruta más corta a través de mi IP".

Pasos para el ataque:

  1. Habilitar el reenvío de IP: Antes de empezar, tu Kali debe dejar pasar el tráfico (si no, la víctima se quedará sin internet).

    Bash
    echo 1 > /proc/sys/net/ipv4/ip_forward

  2. Lanzar el comando:

    Bash
    icmp_redir -i eth0 -s 192.168.1.1 -d 192.168.1.50 -g 192.168.1.100

    • -s: La IP del router original (Source).

    • -d: La IP de la víctima (Destination).

    • -g: Tu propia IP (Gateway falso).

Comparativa: ¿Cuál usar?

CaracterísticaHSRPICMP Redirect
ObjetivoToda la red o segmento.Un host específico.
DetecciónAlta (el router real se pone en "standby").Media/Baja (el tráfico fluye igual).
RequisitoSolo routers Cisco.Funciona en casi cualquier red IP.

El paso final: Sniffing

Una vez que el tráfico pase por tu máquina, debes usar una herramienta como Wireshark o Ettercap para ver qué está enviando la víctima. Sin esto, solo estarás moviendo datos de un lado a otro sin verlos.


Para que el ataque sea realmente útil, no basta con desviar el tráfico; necesitas verlo e interpretarlo. Al haber redirigido el tráfico hacia tu máquina con IRPAS, ahora actúas como un "peaje" por donde pasan todos los datos.

Aquí tienes cómo configurar la captura para extraer información valiosa:

1. Preparación del "Sniffing" con Wireshark

Una vez que hayas lanzado icmp_redir o hsrp, abre Wireshark en tu Kali Linux y sigue estos pasos:

  1. Selecciona la interfaz: Normalmente eth0 (cable) o wlan0 (Wi-Fi).

  2. Aplica un filtro de visualización: Para no marearte con miles de paquetes, usa filtros específicos en la barra superior:

    • http.authbasic: Para ver intentos de login en webs sin SSL.

    • ftp o telnet: Protocolos antiguos que envían todo en texto plano.

    • ip.addr == [IP_DE_LA_VICTIMA]: Para ver solo lo que hace ese usuario.

2. Extracción de Credenciales (El "Botín")

Si la víctima entra en un sitio que no usa HTTPS (o si logras hacer un downgrade de seguridad), busca los paquetes con el método POST.

  • En Wireshark: Haz clic derecho sobre un paquete HTTP POST > Follow > TCP Stream.

  • Qué buscar: Verás una ventana de texto con el código HTML y los datos enviados. Busca palabras como user, password, login o passwd.

3. Automatización con Ettercap (Alternativa a Wireshark)

Si prefieres algo más directo que Wireshark para obtener contraseñas al vuelo, puedes usar Ettercap en modo texto mientras IRPAS hace el trabajo sucio:

Bash
ettercap -T -q -i eth0

  • -T: Modo texto (consola).

  • -q: Modo "quiet" (solo muestra lo importante, como contraseñas encontradas).

⚠️ Una advertencia de "Peer" (Colega)

Hoy en día, la mayoría de los sitios usan HTTPS (TLS). IRPAS desviará el tráfico, pero verás los datos cifrados (puros símbolos sin sentido). Para ver el contenido real en sitios modernos, necesitarías combinar esto con una herramienta de "SSL Strip" o inspección de certificados, lo cual es un paso mucho más avanzado y complejo.

 

En ciberseguridad, la mejor forma de aprender a atacar es para saber cómo defenderte. Si alguien en tu red está usando herramientas de la suite IRPAS (como hsrp o icmp_redir), está dejando huellas digitales muy específicas.

Aquí tienes cómo puedes "cazar" al atacante desde tu propia máquina o como administrador de red:

1. Detectando el ataque HSRP (Toma de control del Router)

Cuando alguien usa hsrp de IRPAS, el síntoma principal es un cambio repentino en la topología de la red.

  • El síntoma: Tu tabla ARP muestra que la IP del Gateway (tu router) ahora tiene una dirección MAC diferente, o peor, hay constantes cambios de estado en el router real (pasa de "Active" a "Speak" o "Standby").

  • Comando de detección (Linux/Mac):

    Bash
    arp -a

    Si la dirección MAC de tu puerta de enlace coincide con la de un equipo sospechoso en la red (o cambia constantemente), alguien está intentando ser el "Router Maestro".

2. Detectando ICMP Redirect (Redirección silenciosa)

Este es más difícil de ver porque no desconecta a nadie, solo desvía el tráfico.

  • El síntoma: Tu sistema operativo recibe paquetes ICMP de tipo 5. Los sistemas modernos suelen ignorarlos por seguridad, pero si ves muchos de estos, hay un ataque en curso.

  • Herramienta de detección: Usa tcpdump para filtrar específicamente estos mensajes de redirección:

    Bash
    sudo tcpdump -i eth0 'icmp[0] == 5'

    Si este comando empieza a arrojar resultados, alguien le está diciendo a tu equipo: "Oye, usa esta otra ruta".

3. Defensas activas (Cómo bloquear IRPAS)

Para evitar que estas herramientas funcionen en tu red, se aplican estas configuraciones en los switches y routers (Cisco u otros):

Medida de SeguridadQué hace
HSRP AuthenticationAñade una contraseña a los paquetes HSRP. IRPAS no podrá inyectar rutas si no conoce la clave.
Port SecurityLimita qué dirección MAC puede conectarse a un puerto del switch.
Desactivar ICMP RedirectsEn los routers, usa el comando no ip redirects para que el router nunca sugiera rutas alternativas a los clientes.
DHCP SnoopingEvita que alguien conecte un router falso y asigne IPs maliciosas.

El consejo de oro: Usa siempre Cifrado

Herramientas como IRPAS son potentes para mover el tráfico, pero son inútiles contra el contenido si usas VPN, HTTPS (con HSTS activo) o SSH. Aunque el atacante logre desviar tus datos, solo verá una "sopa de letras" cifrada que no podrá leer.

 

Configurar una alerta visual en Wireshark es como poner una "alarma de incendios" en tu red. En lugar de buscar entre miles de líneas de datos, Wireshark pintará de un color llamativo (como rojo o naranja) cualquier paquete que parezca un ataque de redirección.

Aquí tienes los pasos para crear tu propia regla de detección para ICMP Redirect:

1. Crear la Regla de Coloración (Coloring Rule)

Sigue estos pasos dentro de Wireshark:

  1. Ve al menú superior: View > Coloring Rules...

  2. Haz clic en el botón + (Plus) para añadir una nueva regla.

  3. Configura los siguientes campos:

    • Name: ALERTA: Redirección ICMP (Posible IRPAS)

    • Filter: icmp.type == 5

  4. Haz clic en Background y selecciona un color Rojo brillante o Naranja.

  5. Haz clic en Foreground (texto) y selecciona Blanco o Negro para que contraste.

  6. Dale a OK.

2. ¿Qué verás cuando alguien use IRPAS?

Si alguien lanza el comando icmp_redir contra tu IP, verás que tu lista de paquetes se llena de franjas rojas. Al hacer clic en uno de esos paquetes, en la sección de detalles verás algo como esto:

Internet Control Message Protocol

  • Type: 5 (Redirect)

  • Code: 1 (Redirect Datagram for the Host)

  • Gateway address: [IP del Atacante]

Esa "Gateway address" es la IP de la máquina Kali (o el dispositivo) que está intentando robar tu tráfico. ¡Ya tienes al culpable identificado!

3. Bonus: Alerta para HSRP (Cisco)

Si quieres detectar si alguien está forzando ser el Router Maestro con hsrp, crea otra regla de color con este filtro:

  • Filter: hsrp.state != 16 && hsrp.priority > 120

  • Explicación: Esto detectará paquetes HSRP donde alguien está enviando una prioridad sospechosamente alta (IRPAS suele usar 255 por defecto) para ganar la elección del router.

¿Cómo proceder una vez detectado?

Una vez que veas el color rojo en tu pantalla:

  1. Anota la IP de origen del paquete.

  2. Busca su dirección MAC en el panel de detalles de Ethernet.

  3. Bloquea ese puerto en tu switch o desconecta ese equipo de la red.


Crear un "IDS" (Sistema de Detección de Intrusos) casero en Python es un proyecto genial. Para esto usaremos dos librerías principales:

  1. Scapy: La navaja suiza para manipular y "sniffear" paquetes de red.

  2. Plyer: Una librería sencilla para lanzar notificaciones nativas en el escritorio (Windows, Linux o Mac).

1. Instalación de requisitos

Primero, asegúrate de tener las librerías instaladas en tu Kali:

Bash
pip install scapy plyer

2. El Script: detector_irpas.py

Este script escuchará el tráfico en tu interfaz de red y, en cuanto vea un paquete ICMP Redirect (tipo 5), lanzará una alerta visual.

Python
from scapy.all import sniff, ICMP
from plyer import notification

def detectar_ataque(pkt):
    # Verificamos si el paquete es ICMP y de tipo 5 (Redirect)
    if pkt.haslayer(ICMP):
        if pkt[ICMP].type == 5:
            atante_ip = pkt.src
            nueva_ruta = pkt[ICMP].gw
            
            mensaje = f"IP Atacante: {atante_ip}\nIntenta redirigir tráfico a: {nueva_ruta}"
            
            print(f"[!] ALERTA: Detectado ICMP Redirect desde {atante_ip}")
            
            # Lanzar notificación al escritorio
            notification.notify(
                title='⚠️ ALERTA DE SEGURIDAD RED',
                message=mensaje,
                app_name='Detector IRPAS',
                timeout=10
            )

print("[*] Monitorizando red en busca de ataques IRPAS... (Presiona Ctrl+C para salir)")
# 'store=0' sirve para no saturar la memoria RAM guardando paquetes
sniff(filter="icmp", prn=detectar_ataque, store=0)

3. Cómo ejecutarlo

Debido a que el script necesita poner la tarjeta de red en modo escucha (promiscuo), debes ejecutarlo con privilegios de root:

Bash
sudo python3 detector_irpas.py

¿Cómo funciona la lógica?

  • sniff(filter="icmp"...): Le dice a Python que ignore todo lo que no sea ICMP para ahorrar recursos.

  • pkt[ICMP].type == 5: Este es el "ID" específico de los paquetes que genera la herramienta icmp_redir de IRPAS.

  • pkt[ICMP].gw: Extrae la dirección del "Gateway" que el atacante te está intentando imponer.

 

Tener un archivo de registro (log) es fundamental en el mundo de la ciberseguridad forense. Si alguna vez necesitas demostrar que alguien intentó atacarte, un simple "mensaje en pantalla" no sirve; necesitas un archivo con marcas de tiempo y direcciones MAC (que son más difíciles de falsificar que las IP).

Aquí tienes el script actualizado. He añadido la librería datetime para las fechas y una función para obtener la dirección MAC del atacante.

Script Mejorado: ids_irpas_pro.py

Python
from scapy.all import sniff, ICMP, Ether
from plyer import notification
from datetime import datetime

# Nombre del archivo donde se guardarán las pruebas
LOG_FILE = "ataques_detectados.log"

def registrar_ataque(ip_origen, mac_origen, gateway_falso):
    ahora = datetime.now().strftime("%Y-%m-%d %H:%M:%S")
    log_entry = (f"[{ahora}] ATAQUE DETECTADO\n"
                 f"Origen IP: {ip_origen} | MAC: {mac_origen}\n"
                 f"Intento de Redirección hacia: {gateway_falso}\n"
                 f"{'-'*40}\n")
    
    # Guardar en el archivo (modo 'a' de append/añadir)
    with open(LOG_FILE, "a") as f:
        f.write(log_entry)

def detectar_ataque(pkt):
    if pkt.haslayer(ICMP) and pkt[ICMP].type == 5:
        ip_atc = pkt.src
        # Intentamos obtener la MAC del paquete Ethernet
        mac_atc = pkt[Ether].src if pkt.haslayer(Ether) else "Desconocida"
        gw_falso = pkt[ICMP].gw
        
        # 1. Registrar en archivo
        registrar_ataque(ip_atc, mac_atc, gw_falso)
        
        # 2. Notificación visual
        notification.notify(
            title='⚠️ ATAQUE IRPAS REGISTRADO',
            message=f"IP: {ip_atc}\nMAC: {mac_atc}\nRevisa {LOG_FILE}",
            timeout=10
        )
        print(f"[!] Evento registrado en {LOG_FILE}")

print(f"[*] Vigilando... Los logs se guardarán en: {LOG_FILE}")
sniff(filter="icmp", prn=detectar_ataque, store=0)

¿Qué verás en el archivo ataques_detectados.log?

Cuando el script detecte el ataque de icmp_redir, creará un archivo de texto en la misma carpeta con este formato:

[2026-03-20 14:45:10] ATAQUE DETECTADO

Origen IP: 192.168.1.15 | MAC: 08:00:27:8a:3c:df

Intento de Redirección hacia: 192.168.1.15

¿Por qué es importante la dirección MAC?

Mientras que un atacante puede cambiar su dirección IP en segundos, la MAC identifica la tarjeta de red física (o virtual). Si estás en una oficina o universidad, la dirección MAC te permite saber exactamente qué puerto del switch o qué dispositivo específico lanzó el ataque IRPAS.

Location: España

Entradas populares de este blog

Hacking y ciberseguridad en kali linux con Fping

Imagen
  www.onlinetis.com   Hacking y ciberseguridad en kali linux con Fping Fping es un programa similar a ping que utiliza la solicitud de eco del Protocolo de Mensajes de Control de Internet (ICMP) para determinar si un host objetivo responde. fping se diferencia de ping en que permite especificar cualquier número de objetivos en la línea de comandos o un archivo con las listas de objetivos a los que se hará ping. En lugar de enviar a un objetivo hasta que se agote el tiempo de espera o responda, fping envía un paquete de ping y pasa al siguiente objetivo mediante un sistema de turnos rotatorios. Como instalar:  sudo apt install fping fping Enviar paquetes ICMP ECHO_REQUEST a los hosts de la red   fping6 Compatibilidad con versiones anteriores de fping anteriores a la versión 4.0 El comando fping en Kali Linux es una utilidad de red que se utiliza para enviar paquetes de ICMP (Protocolo de mensajes de control de Internet) a varios hosts de forma simultánea. A diferen...
LEER MAS »

Hacking y ciberseguridad en kali linux con atk6-thcping6

Imagen
www.onlinetis.com Hacking y ciberseguridad en kali linux con atk6-thcping6 Parece que estás interesado en usar atk6-thcping6 en Kali Linux. Esta herramienta es parte del conjunto de utilidades thc-ipv6 , diseñado para probar las debilidades del protocolo IPv6. Para usar atk6-thcping6 , primero necesitas tener instalado el paquete thc-ipv6 . En la mayoría de las distribuciones de Kali, ya viene preinstalado, pero si no, puedes instalarlo con el siguiente comando: Bash sudo apt install thc-ipv6 Una vez que lo tienes instalado, la sintaxis básica para atk6-thcping6 es: Bash atk6-thcping6 <interface> <target> [opciones] Aquí está el desglose de los argumentos y opciones más comunes: <interface> : La interfaz de red que usarás para enviar el paquete. Por ejemplo, eth0 , wlan0 , etc. <target> : La dirección IPv6 del objetivo al que quieres hacer ping. [opciones] : Puedes usar varias opciones para modificar el comportamiento del ping. La mejor manera de ver todas la...
LEER MAS »

Como utilizar Fierce en kali linux

Imagen
  www.onlinetis.com   Como utilizar Fierce en kali linux Fierce es un escáner semiligero que ayuda a localizar direcciones IP no contiguas y nombres de host en dominios específicos. Está pensado como precursor de nmap, unicornscan, nessus, nikto, etc., ya que todos ellos requieren que se conozca previamente el espacio IP buscado. No realiza exploits ni escanea internet indiscriminadamente. Está diseñado específicamente para localizar objetivos probables tanto dentro como fuera de una red corporativa. Dado que utiliza principalmente DNS, es frecuente encontrar redes mal configuradas que filtran el espacio de direcciones interno. Esto es especialmente útil en malware dirigido. Originalmente escrito por RSnake y otros en http://ha.ckers.org/. Se trata simplemente de una conversión a Python 3 para simplificar y modernizar el código base. Como instalar: sudo apt install fierce Escáner DNS que ayuda a localizar espacios de IP no contiguos y nombres de host contra dominios específico...
LEER MAS »