Saltar al contenido

Todo Sobre el Robo de Puertos o Port Stealing

10 junio, 2019

El robo de puertos o port stealing, es una técnica empleada para realizar un ataque; a nivel de las redes LAN que conectan los ordenadores en un espacio determinado. Quien realiza este ataque, utiliza la red Ethernet y un dispositivo conmutador o switch, para interconectarse.

Al momento de realizar este ataque, el objetivo es que, quien realiza el ataque utiliza la localización de la víctima; tanto para el origen como para el destino, por lo que switch toma la conexión del atacante como si fuera la víctima; de allí a que este ataque se caracterice por ser un robo de puertos.

Este ataque es de manera constante; ya que cada vez que la víctima recibe algún archivo, surge un ARP request; es decir, un protocolo que determine la localización real del envío. Es allí cuando el atacante envía dicho archivo a la víctima, bien sea en su estado original o puede realizarle algunos cambios, según lo que persiga; posteriormente continua el ataque port stealing.

La Tabla CAM en el Robo de Puertos o Port Stealing

Las tablas CAM o Memoria de Contenido Direccionable, como se conocen de acuerdo a sus siglas en inglés; se encarga básicamente del tráfico de información que hay en la red; haciendo que sea posible el envío de un archivo, a una sola computadora que esté conectada a la red; evitando así, que alguna información pueda filtrarse o ser enviada equivocadamente.

Ahora bien, al realizar un robo de puertos o port stealling; se manipula la información contenida en la tabla CAM; logrando que el conmutador  relacione la dirección MAC de la víctima, con el puerto robado. Allí  es donde es posible que surja el robo de puertos.

Por el contrario, en condiciones normales, la tabla CAM, almacena la asociación entre el switch que recibe la trama; la dirección de una víctima, incluyendo el puerto que recibiría la trama.

A fin de ejecutar el ataque Robo de Puertos o Port Stealing; a través de arping, se debe llevar a cabo lo siguiente.

  • # arping -s MAC_VICTIMA IP_DESTINO -S IP_ORIGEN -i INTERFAZ_LAN

Identifiquemos los participantes:

  • MAC_VICTIMA: es la dirección MAC de la cual se pretende “robar el puerto”.
  • IP_DESTINO: este es necesario, por ser un mensaje ARP request.
  • IP_ORIGEN: es la IP del mensaje ARP.
  • INTERFAZ_LAN: nombre de la interfaz de red que se utilizará.

Al momento del ataque; quien lo lleva a cabo, puede indicar la periodicidad en el envío de mensajes ARP el comando arping; esto se logra al utilizar el parámetro –w; veamos un ejemplo:

  • # arping -s AA:BB:CC:11:22:33 1.1.1.1 -S 2.2.2.2 -w 1

De acuerdo a este ejemplo, el número “1” junto al parámetro “–w”; quiere decir un microsegundo que aguarda arping, para luego proceder al envío del mensaje; dejándole cierto beneficio al atacante para que encuentre el puerto de su víctima.

¿Se Puede Detectar un Robo de Puertos o Port Stealing?

Con un antivirus suficientemente avanzado, un sistema de detección de intrusos; o al observar el tráfico de la red, se puede determinar si existen factores dudosos e inseguros. Para no quedar expuesto, el atacante, trata de registrar una actividad normal en la red; así se expresaría:

  • # arping -s AA:BB:CC:11:22:33 192.168.0.2 -S 192.168.0.1 -t AA:BB:CC:22:33:44

Estos son algunos aspectos con los que juega el atacante del robo de puertos o port stealing; para pasar desapercibido:

  • Quien realiza el ataque puede indicar la dirección MAC tanto la de destino como la que trata de robar el puerto.
  • En lo referente a los mensajes ARP; el atacante los envía con direcciones IP específicas, a fin de no verse expuesto ante un Broadcast.
  • El atacante utiliza la dirección IP de una víctima, para hacer que los mensajes ARP luzcan auténticos, aunque no lo sean; para así pasar desapercibido en un antivirus.
  • Finalmente, el atacante puede decidir si le envía a su víctima algunos de los archivos que ha recibido, mientras realizaba el ataque; así sean modificados, o, por otra parte, puede decidir no enviarlos jamás. También puede combinar este ataque con el ataque de hombre en el medio o Man in the middle.
¿Nos das 5 estrellas? ?