Usando avvelenamento da ettercap e ARP, sono stato in grado di intercettare altre connessioni, ma improvvisamente non sono riuscito a stabilire alcuna connessione a Internet. Per ripristinare la connettività Internet, ho dovuto riavviare il mio router. (Ho provato questo su 3 router diversi: sagem, linksys e huawei.)
Sto facendo qualcosa di sbagliato o c'è un meccanismo di sicurezza che uccide tutte le attività di rete?
Lo spoofing ARP di solito funziona ingannando tutti i client nel pensare che tu sia il router, simulando le risposte ARP che traducono gli indirizzi IP in indirizzi MAC. Quando i client ricevono la risposta ARP, ricordano il MAC associato all'IP.
Una volta interrotta l'applicazione che sta gestendo la parte man-in-the-middle dell'operazione, i client continuano a inviare il tuo indirizzo MAC, invece del router. Poiché non gestisci più tali pacchetti, il traffico viene oscurato e l'intera rete non funziona. La reimpostazione del router provoca l'invio di una trasmissione ARP (ad esempio "Ciao, I'm 192.168.1.1 at 12:34:56:78:90:AB ") insieme a una trasmissione DHCP, che consente ai client di risincronizzare con il router reale.
Potrebbe essere possibile che il software di avvelenamento ARP invii una trasmissione ARP quando si chiude, con il vero indirizzo MAC del router, per impedirlo. Questo potrebbe essere un bug, o potrebbe non essere ancora implementato.
Un'altra aggiunta ai punti di inoltro / instradamento che le persone hanno fatto, se si sta utilizzando un sistema operativo basato su Linux, sarà necessario attivare l'inoltro IP, altrimenti il kernel lascerà cadere tutti i pacchetti destinati a un indirizzo IP che non è collegato a qualsiasi interfaccia locale.
Puoi attivare ip_forwarding eseguendo (come root);
echo "1" > /proc/sys/net/ipv4/ip_forward
E allo stesso modo spegnilo di nuovo con;
echo "0" > /proc/sys/net/ipv4/ip_forward
Questo avrà effetto immediato e non richiede un riavvio.
Se hai solo una scheda di interfaccia di rete, potresti star male tutto. Avresti bisogno di un nic (o virtual nic) per connettersi ai client e agire come il router / switch spoofed e uno per inoltrare il traffico allo switch. So che ettercap è in grado di gestirlo per il traffico di MiTM, ma non ricordo se fornisce anche al tuo computer l'accesso a Internet.
Quando esci da ettercap, dovrebbe ristabilire la connettività Internet inviando i pacchetti arp corretti alle vittime attualmente del MiTM, tagliandoti fuori dal centro e ristabilendo la loro connettività internet.
Assicurati che quando fai il MiTM non stia MiTM facendo il router anche per te.
Questo problema mi capitava anche, e nel mio caso, tutto aveva a che fare con l'uso di iptables. Stavo usando iptables senza il parametro (-i) dell'interfaccia che causa il reindirizzamento attraverso la mia macchina per non funzionare, perché iptables non ha modo di sapere a quale interfaccia è necessario reindirizzare il traffico. Ho appena cambiato il mio comando e non più DoS sulla rete:
iptables -t nat -A PREROUTING -i wlan0 -p tcp --destination-port 80 -j REDIRECT --to-port (the port port where your going to have sslstrip listening to)
Ricordarsi di cambiare l'interfaccia in base al tipo di utilizzo ex. nel mio caso sono connesso a una wlan. Se sei connesso con una connessione cablata molto probabilmente la tua interfaccia sarebbe eth0.
Questo ha funzionato per me su Ubuntu 14.4.
La tua domanda sembra indicare che stavi usando Ettercap su Internet ... Gli ISP spesso hanno il rilevamento dello spoofing ARP e ti interrompono quando vedono la tua attività dannosa.
Nella mia esperienza, il traffico HTTP (da un client Android) viene inoltrato correttamente su mountain lion con ettercap 0.7.5.3, ma HTTPS non funziona. SSLStrip ha anche fallito (finora, per me).
Normalmente utilizzo arpspoof dal pacchetto dsniff . Questo invia automaticamente le trasmissioni dopo aver terminato lo spoofing, informando l'IP (i) di destinazione dell'indirizzo MAC reale per il router.
Normalmente ettercap ha anche questa funzionalità, quindi potrebbe essere un problema con il tuo sistema (versione del pacchetto, sistema operativo) o terminare in modo improprio il tuo programma cli (2Xctrl + c, ctrl + d)
È successo anche a me. Metterei la mia scommessa sui problemi di reindirizzamento o inoltro . Quello che è richiesto è che su iptables devi configurare per inviarlo a destinazione. Giusto falciare si è appena trasformato in un buco nero per te.
"sudo iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 666" ### iptables will forward port 80 to our box, running sslstrip on port 666.
Rif sslstrip
Spero che i comandi sopra riportati ti aiutino a configurare i tuoi IPtables.
Leggi altre domande sui tag network man-in-the-middle attack-prevention