Un utente malintenzionato può intercettare il traffico di rete fisico tramite WiFi?

5

Quindi, mi chiedo - è possibile per un utente malintenzionato intercettare il traffico su una connessione Ethernet se non sono fisicamente inseriti nell'hardware del modem / router, ma sono collegati tramite wifi? In questo scenario l'attaccante si sta connettendo via wi-fi e la vittima si sta connettendo tramite Ethernet. Quindi sia la vittima che l'attaccante si trovano sulla stessa rete usando solo interfacce diverse.

Da quanto ho capito, l'attaccante che è connesso al modem / router tramite wifi non sarà in grado di intercettare il traffico Ethernet sullo stesso modem / router perché non ha accesso fisico tramite un cavo di rete al modem / router . È corretto?

    
posta user_loser 16.04.2014 - 01:26
fonte

3 risposte

4

TLDR: in sostanza con ciò che stai chiedendo, solo trasmissioni ARP, a meno che non sottrai il tuo wireless dalla rete cablata.

Nel complesso dipende. Innanzitutto, il tuo computer su Ethernet può occasionalmente inviare trasmissioni a tutta la rete. Ad esempio, se ha bisogno dell'indirizzo MAC di una macchina sulla rete locale, invierà una trasmissione ARP a tutte le macchine sulla rete locale, inclusa quella dell'attaccante. Questo però non dice molto all'attaccante, a parte il fatto che c'è un altro computer sulla rete, e potrebbe dedurre che è connesso via ethernet dal momento che non può vedere nessun altro traffico Wi-Fi.

Tuttavia, a questo punto può fare ciò che viene chiamato avvelenamento della cache ARP. Il suo computer potrebbe rispondere alla trasmissione inviata dal tuo computer alla ricerca della macchina sulla rete locale, sostenendo di essere la macchina che sta cercando. Quindi il tuo computer continuerà a inviarlo direttamente, perché pensa che stia parlando con l'host giusto.

Ovviamente, l'hacker verrà scoperto abbastanza rapidamente se il suo computer non è stato configurato per rispondere correttamente al traffico che stai inviando. Aiuta l'attaccante ad anticipare il tipo di connessione che il tuo computer sta tentando di fare. E se, per esempio, il tuo computer sta tentando di aprire una connessione RDP al computer dell'attaccante, non è comunque molto utile per l'autore dell'attacco. Il vero pericolo di avvelenamento della cache ARP è se l'host che il tuo computer stava tentando di avviare una connessione era il suo gateway predefinito su Internet. L'utente malintenzionato potrebbe semplicemente inoltrare tutto il traffico al gateway predefinito reale mentre agisce da intermediario, sniffando tutto il traffico.

Fortunatamente, se lo scenario a cui ti riferisci è una rete Wi-fi domestica, il gateway predefinito che il tuo computer stava cercando era il router Wi-fi stesso e, anche se non sono un esperto di router Wi-fi, vorrei supponiamo che il router Wi-fi sia abbastanza intelligente da non inoltrare una trasmissione ARP che richiede il proprio indirizzo MAC. Inoltre, l'attaccante dovrebbe battere il router per rispondere alla trasmissione, il che sembra improbabile, ma suppongo che potrebbe essere possibile se ti piacesse il peggior router Wi-Fi mai realizzato.

In ogni caso, una volta che il tuo computer ha l'indirizzo MAC corretto per il suo gateway Internet predefinito o qualsiasi altro indirizzo MAC che stava cercando, tutte le comunicazioni saranno inviate direttamente a quell'indirizzo MAC. Se ti connetti a un altro computer connesso a Wi-Fi, l'utente malintenzionato può comunque vedere quel traffico.

Questa spiegazione presuppone anche che il tuo router Wi-fi sia altrimenti protetto dall'attaccante che lo controlla direttamente. Se, ad esempio, lasci la password dell'amministratore del router al valore predefinito o qualcosa del genere, potrebbe essere in grado di modificare le impostazioni per fare in modo che il router trasmetta tutto il tuo traffico, o sovrascrivere il firmware del router con quello che fornisce al router. traffico.

Infine, se sei davvero preoccupato per queste trasmissioni ARP provenienti dal tuo computer, per quanto rari e per lo più inutili, a meno che non siano per il gateway predefinito che non dovrebbero essere, quindi su un router più bello potresti essere in grado sottorete la rete locale per fare in modo che il Wi-fi sia una sottorete e l'ethernet sia un'altra. Quindi il router non dovrebbe nemmeno inoltrare richieste ARP attraverso Wi-fi.

    
risposta data 16.04.2014 - 03:44
fonte
0

Sì.

Indipendentemente dal fatto che la vittima sia collegata o meno al router tramite cavo Ethernet o WiFi, è comunque connessa allo stesso router - condividendo ovviamente la stessa LAN.

Essere sulla stessa rete rende molto facile per l'utente malintenzionato utilizzare strumenti come BackTrack, una distribuzione di Linux, per utilizzare funzioni a riga di comando, suite e persino toolkit open source facili da usare per sniffare e analizzare i dati di rete di tutti i tipi. Funzioni specifiche per PCAP (acquisizione pacchetti) includono netsniff-ng .

Vale la pena notare , dal momento che siamo in tema di sicurezza della LAN, che se il router è protetto da qualcosa come una chiave WEP o una crittografia simile, funzioni simili come airsniff-ng nei sistemi basati su Unix può essere usato insieme a aircrack-ng per un facile accesso a qualsiasi rete - solo per essere seguito a breve dallo sniffing locale dei pacchetti per tutte le porte desiderate.

Tutto sommato, ci sono anche molti programmi di terze parti disponibili per l'acquisto e il download per il monitoraggio dell'attività di rete, se preferisci queste strade.

    
risposta data 16.04.2014 - 03:43
fonte
0

La maggior parte dello sniffing (a volte chiamato sniffing passivo) si verifica quando leggo segnali che non erano destinati a me. Posso leggerli perché non spari i tuoi segnali a un router come un raggio, li generi semplicemente in tutte le direzioni e spero che il router riprenda. L'aspetto importante dello sniffing passivo è che non è rilevabile: non è possibile vedere o controllare chi sta leggendo i segnali wireless. Quando usi un cavo, è come usare un raggio: devo essere sul suo percorso (toccando il filo) per annusare passivamente il tuo traffico. Quindi, non è possibile annusare passivamente il traffico Ethernet. Ciò non significa che non puoi catturarlo in altri modi, ma non è probabile che un utente malintenzionato proverà se ha altri obiettivi disponibili.

    
risposta data 16.04.2014 - 01:46
fonte

Leggi altre domande sui tag