"SE LO QUE ESTAS VIENDO EN MI RED"

 Luego de que me fijara a que mi vecinito jugaba al maincra XD con mi red inalambrica que dias antes yo intencionalmente habia cambiado la seguridad de WPA2 a WEP para que la rompiera, me dispuse a investigar como trolearlo asi que me encontre en los foros con una tool que viene por defecto instalada en linux llamada drifnet,  primero deberemos envenenar su cache ARP y despues hacerle un ataque de MITM como hemos visto en anteriores investigaciones.
lo que tiene de malo es que ARP no tiene un mecanismo de autenticacion mutua o que no perjudique algunos de los AAA en seguridad de la informacion,  lo que hace esta herramienta es interceptar y redirigir el trafico de nuevo hacia su destino como un MITM comun solo que con la unica opcion de que filtra las imagenes solamente,  con wireshark tambien podemos hacer esto pero es un poco mas tedioso, ya que debemos ir examinante paquete por paquete para ver las urls de las imagenes e ir filtrandolas.
pero algunas veces dicho trafico ira encriptado con SSL lo que dificultara su obtencion con wirehark,  la herramienta drifnet ya trae por defecto esta utilidad que nos ayuda descifrar cierta informacion en el HTTPS para efectuar el espionaje mas rapido.
podemos usar ettercap en modo grafico o en la terminal o podemos usar la utilidad arpspoof en la terminal tambien,  cada quien puede usar la que guste yo en este caso usare  las utilidades en la terminal para no gastar tanto recurso de mi CPU de mi ordenador.
asi que vamos ala accion,  primero escanearemos a mi vecinito aver que direccion ip le asigno mi dhcp del router de mi red para esto, utilizaremos un escaneo rapido con nmap hacia todas las direcciones up es decir todas las que estan arriba o disponibles asi que ejecutare el escaneo hacia toda mi subred local.
esa es la maquina del crio rata jugando al maincra,  ahora vamos hacerle un arpspoofing.
ahi vemos que le esta enviando ala victima multiples paquetes arp reply para que crea que nosotros somos el router a donde envia el trafico y tambien hacerle creer al router que somos la victima y despues redirigirlo, antes no olvidarnos de redirigir el trafico o por el contrario estariamos desconectando ala victima de la red.
antes de proceder a redirigir el trafico, este es un paquete arp,  lo que hace este MITM es spoofear o falsear als direcciones hardware de este paquete para que la red crea que esta ante una entidad legitima.
este es un mensaje ARP.
lo que hacemos es falsear estos campos, menos el opcode que es el tipo de mensaje arp en este caso es tipo 3 por ser un ARP REPLY.
ahora vamos a ir snifeando todas las conexiones que pasan entre nosotros.
podemos observar como el trafico esta puesto como loco, y pues es claro,  tenemos dos lineas de trafico escuchando las de la victima y las propias,  asi que debemos de tener cuidado de causar una inundacion o flood y desconectar ala victima.
como yo no estoy en facebook, intuyo que es la victima quien se esta conectando a dicha red social  y por lo tanto nuestro ataque MITM ha tenido un gran exito.
ahora nos vamos a poner a capturar con wireshark para volcar el trafico en un nivel mas detallado y lo guardamos con la extension .pcap.
este es el archivo que volcaremos hacia la herramienta driftnet posteriormente frente al frenado del ataque.
ahora vamos a ver nuestro driftnet aver que nos puede decir.

ahora solo queda esperar que nos de las imagenes capturadas en el archivo .pcap.
aver que nos puede decir.
toda las imagenes se guardan en tmp/ en archivos temporales de linux.
ahora solo toca abrir las imagenes aver si encontramos algo interesante del trafico interceptado de la victima o del niño rata por asi decirlo.



REFERENCIAS, HERRAMIENTAS Y ENLACES TECNICOS:
https://github.com/deiv/driftnet
https://forums.kali.org/showthread.php?19230-How-to-use-driftnet-properly
https://es.wikipedia.org/wiki/Ataque_de_intermediario

.pcap acceso no autorizado arp-spoofing cache arp drifnet Falsificacion Arp hacking Hombre en el medio https MITM protocolos redes ssl wireshark