Detectando MITM (Man In The Middle) con Windows 10

Este articulo es algo sencillo pero que muchos no conocen y no saben cómo actuar ante un ataque del Hombre En El Medio, o MITM por sus siglas en inglés, ya que eso es muy común cuando estamos conectados en una red Local, ya sea hotel, aeropuerto, café, o en cualquier parte donde podemos conectarnos a una red WiFi Gratis. Mi mejor consejo para evitar esto es, NO CONECTARSE A UNA RED WIFI GRATIS, o si lo haces, no meter datos personales, ni claves.

Pero bueno, si por alguna razon requerimos conectarnos pues no nos queda más que analizar si la red esta siendo hackeada o tenemos a alguien por ahi de metiche robandonos el tráfico  o los paquetes, el método que utilizaremos lo emplearemos en Windows 10, ya que con este se hicieron las pruebas y es muy sencillo. Empecemos…

Paso 1:

Entrar al Simbolo del Sistema, lo que hacemos es darle clic con el botón derecho del mouse al inicio de windows y seleccionamos la opcion de Simbolo del sistema (administrador)

 

enseguida nos mostrará la ventana del Símbolo del sistema en modo administrador

ya una vez estando en la pantalla de Administrador del Símbolo del sistema tecleamos el siguiente comando

arp -a

Esto nos mostrará las tablas de direcciones, donde si bien debemos de saber nuestra ip debe de estar comunicada directamente con la ip del router, pero pues al igual nos puede mostrar algo así

En la imagen anterior vemos una IP que esta haciendo conexión primero con mi ip local que es 192.168.176.128  esta es mi ip local, pero conecta directamente a otra ip que es 192.168.176.2 desde mi punto de vista esto no debería de pasar ya que debería conectar a la ip del router que es 192.168.176.254, aquí puede ser que nos están interceptando los paquetes y tenemos un MITM o es que el cache arp no esta limpio, y para poderlo limpiar debemos de teclear el siguiente comando en la misma terminal de windows o el cmd

netsh interface ip delete arpcache  <enter>

y al hacer esto esperamos que nos aparezca la palabra Aceptar y de nuevo el simbolo del sistema

una vez que limpiamos el caché arp, pues volvemos a teclear el comando arp -a y vemos lo que nos muestra

ya en esta segunda consulta con el comando arp -a vemos que la otra ip ya no aparece,  bueno de esta manera es como debe de estar nuestra tabla arp, puede que en algunas veces nos encontremos con otras ip pero sean de router y eso, pero si por alguna extraña razon ven una ip diferente o rara, mejor no conectarse a esa red.

Aquí vemos otra tabla arp limpia, sin intruso.

Les recomiendo que siempre que se conecten a una red, hagan esto, en el símbolo del sistema teclear

 arp -a

y checar sus tablas arp y ver a donde conectan.

Ahora después de haberles explicado esto, pues no me queda mas que decirles que si este método se les complica pues bajen una aplicación que se llama marmita

Próximamente realizaremos un post sobre este tema pero ahora usando Linux y esperemos que este post le sirva y nos leemo en un próximo post. si tienen dudas busquenos en Facebook y twitter.