Sfondo:
Capisco che per ARP spoofare una vittima in una rete usando Scapy, abbiamo bisogno di inviare pacchetti di risposta ARP alla vittima e al router gateway con la destinazione corretta e l'indirizzo IP di origine, ma con l'indirizzo Mac di origine dell'attaccante, Sostanzialmente affermando che l'attaccante è la porta della vittima e la vittima del gateway, quindi l'uomo nel mezzo. Inoltre, per consentire l'inoltro ip
, l'utente malintenzionato dovrebbe eseguire l'echo da 1 a / proc / sys / net / ipv4 / ip_forward.Domanda:
Quindi la mia domanda è, dopo aver arp avvelenato la vittima e il gateway, in che modo il traffico della vittima verrà reindirizzato al router e il traffico di risposta del router da reindirizzare alla vittima? L'utente malintenzionato deve modificare le configurazioni del firewall in iptable? Come nella catena di pre-instradamento della tabella nat, reindirizzando la porta TCP del traffico vittima 80 e 443 all'IP del gateway e inoltrando anche i pacchetti di risposta del router (porta src 80/443) alla vittima?
Poiché la maggior parte degli esempi sul web non parla delle loro configurazioni firewall, quindi mi chiedevo se la modifica della tabella nat per la catena di pre-routing fosse anche un passo necessario da intraprendere per amministrare un attacco MITM.
Esempio:
link Domanda su questo video di esempio: In che modo l'hacker ha annusato il pacchetto dns utilizzando scapy semplicemente filtrando la porta tcp 80. Dal momento che nel video l'hacker non mostrava alcuna configurazione di firewall (iptables), supponevo che tutto il traffico della vittima inclusi i pacchetti di query DNS inviati all'autore dell'attacco, in che modo la vittima ha ottenuto la connessione con google e twitter se l'attaccante non ha inoltrato il traffico al gateway / vittima?
Qualcuno può spiegare per favore? Grazie in anticipo.