ARP spoofing con Scapy. In che modo Scapy dirotta il traffico?

4

Sfondo:

Capisco che per ARP spoofare una vittima in una rete usando Scapy, abbiamo bisogno di inviare pacchetti di risposta ARP alla vittima e al router gateway con la destinazione corretta e l'indirizzo IP di origine, ma con l'indirizzo Mac di origine dell'attaccante, Sostanzialmente affermando che l'attaccante è la porta della vittima e la vittima del gateway, quindi l'uomo nel mezzo. Inoltre, per consentire l'inoltro ip

, l'utente malintenzionato dovrebbe eseguire l'echo da 1 a / proc / sys / net / ipv4 / ip_forward.

Domanda:

Quindi la mia domanda è, dopo aver arp avvelenato la vittima e il gateway, in che modo il traffico della vittima verrà reindirizzato al router e il traffico di risposta del router da reindirizzare alla vittima? L'utente malintenzionato deve modificare le configurazioni del firewall in iptable? Come nella catena di pre-instradamento della tabella nat, reindirizzando la porta TCP del traffico vittima 80 e 443 all'IP del gateway e inoltrando anche i pacchetti di risposta del router (porta src 80/443) alla vittima?

Poiché la maggior parte degli esempi sul web non parla delle loro configurazioni firewall, quindi mi chiedevo se la modifica della tabella nat per la catena di pre-routing fosse anche un passo necessario da intraprendere per amministrare un attacco MITM.

Esempio:

link Domanda su questo video di esempio: In che modo l'hacker ha annusato il pacchetto dns utilizzando scapy semplicemente filtrando la porta tcp 80. Dal momento che nel video l'hacker non mostrava alcuna configurazione di firewall (iptables), supponevo che tutto il traffico della vittima inclusi i pacchetti di query DNS inviati all'autore dell'attacco, in che modo la vittima ha ottenuto la connessione con google e twitter se l'attaccante non ha inoltrato il traffico al gateway / vittima?

Qualcuno può spiegare per favore? Grazie in anticipo.

    
posta Rennitbaby 18.01.2018 - 01:48
fonte

1 risposta

5

Scapy non instrada il traffico e non tocca affatto il traffico in questo scenario. Quando abiliti l'inoltro IP su un host, diventa un router. Quando l'host riceve un pacchetto non destinato a uno dei propri indirizzi, instraderà il pacchetto per la sua tabella di routing. Poiché il traffico proveniente dalla vittima ha un indirizzo IP di destinazione che non corrisponde alla macchina dell'attaccante, nella maggior parte dei casi ciò comporterà che il traffico venga inoltrato al gateway predefinito dell'utente malintenzionato, che di solito è il gateway / router della rete.

Ad esempio, un utente malintenzionato ha eseguito un attacco di avvelenamento da ARP bidirezionale. La vittima pensa che la macchina dell'attaccante sia il router e il router pensa che la macchina dell'attaccante sia quella della vittima. La vittima invia un pacchetto a 8.8.8.8, che viene ricevuto sulla macchina dell'attaccante. Il pacchetto non è indirizzato all'attaccante, quindi viene inviato al gateway predefinito. La risposta del server si comporta allo stesso modo; il router invierà il pacchetto indirizzato alla vittima, che andrà all'attaccante. Di nuovo, non è indirizzato all'attaccante, quindi viene nuovamente inoltrato.

Hai menzionato le regole del firewall coinvolte. Una configurazione di iptables pulita ha un ACCEPT predefinito per tutte le catene. Non c'è nulla che inibisca il suddetto routing dei pacchetti una volta che l'inoltro è attivo nel kernel, a meno che non siano state aggiunte regole firewall per prevenirlo.

    
risposta data 18.01.2018 - 04:29
fonte

Leggi altre domande sui tag