Layer 2 Attacks

Existen muchas medidas y controles para asegurar los equipos y servicios en las capas altas del modelo OSI, realizamos análisis de virus, filtramos el acceso web, evitamos correos SPAM, controlamos el uso de las aplicaciones, inspeccionamos que los servicios no sean víctimas de ataques XSS o SQL Injection, e incluso vigilamos los ficheros descargados y enviados para eludir la fuga de información o la descarga indebida de ciertos archivos. Pero, vuelvo a repetir, no debemos olvidar las Capas 1 y 2 del modelo OSI, los ataques que voy a comentar a continuación tienen más de cuatro años y aún las organizaciones no tratan de subsanar estas deficiencias y por tanto evitar estos ataques, probablemente sea por desconocimiento, porque no les preocupa o porque nadie les ha explicado qué pasaría si … sucediese esto, aquello y lo otro, pero lo que está claro es que la mayoría tiene la infraestructura y los medios adecuados para implantar las medidas necesarias para mitigar este tipo de ataques.

MAC Flooding

Mediante dsniff y la utilidad macof podremos realizar DoS de switches quedando a los usuarios sin acceso a los recursos de red, o incluso capturando todo el tráfico generado por los usuarios. Es tan sencillo como instalarse la herramienta dsniff en un equipo Linux y ejecutar el siguiente comando:

# macof -i Interfaz

A continuación os dejo un vídeo donde el atacante realiza el ataque y obtiene la contraseña de un usuario: Active Sniffing – Mac Flooding (macof and Wireshark)

VLAN Hopping

Mediante la herramienta Yersinia podremos levantar un trunk 802.1Q con el switch para comunicarnos con equipos de otras redes a las que supuestamente no tenemos permisos de acceso, o en el caso de que DTP esté deshabilitado podremos enviar tráfico a otros equipos mediante double tagging.

Para una explicación detallada del ataque seguir la siguiente entrada: Abusing VLANs Witch BackTrack.

Spoofing Attacks

Este ataque lo podemos realizar con la herramienta arpspoof de dsniff, con ello conseguiremos que todo el tráfico de un usuario pase por el equipo del atacante permitiéndonos conocer qué servicios está utilizando e incluso todas las contraseñas que viajen en texto claro. Para ello realizaremos un ataque DUAL ARP, es decir, un ataque Man in the Middle (MITM) de la siguiente manera:

# echo 1 > /proc/sys/net/ipv4/ip_forward

Le decimos al router que los paquetes que vayan para la víctima nos los envíe a nuestro equipo.

# arpspoof -i Interface -t ip_router ip_victima

Le decimos a la víctima que los paquetes para el router nos los envíe a nuestro equipo.

# arpspoof -i Interface -t ip_victima ip_router

Como podemos ver es muy sencillo realizar estos ataques, no es necesario tener unos conocimientos avanzados sobre redes para comprometer el rendimiento de la red de una organización o para realizar ataques MITM y así obtener toda la información que viaja entre el equipo del usuario y el servidor, sin que éste se percate. Es decir, cualquier Script Kiddie con toda la información que hay disponible actualmente en Internet podría causarnos más de un dolor de cabeza si no se tiene la infraestructura de red debidamente controlada. Para finalizar, no olvidemos asegurar la capa de enlace, ya que un atacante no tiene por qué ser solamente una persona perteneciente a la organización, sino que también puede ser un atacante remoto que haya comprometido algún equipo de la red local de la organización.