Avvelenamento ARP: esattamente come funziona

4

Qualcuno può dirmi come funziona esattamente l'avvelenamento ARP?

Perché ero sicuro che funzionasse come ho detto qui .

Ma mi è stato detto che non è così che funziona l'avvelenamento da ARP. Che il percorso che ho menzionato nel link sia sbagliato, perché quello corretto sarebbe:
target (C) - > router (A) --- > attacker (B) - > router (A) - > Internet.

E mi è stato detto che a causa del percorso sopra menzionato, non avrei bisogno del PTK per decrittografare il traffico perché il router avrebbe decodificato il traffico per me.

Quindi, quale è corretto?

    
posta loopOfNegligence 08.03.2017 - 14:42
fonte

2 risposte

1

Da una breve occhiata - entrambe le descrizioni sono sostanzialmente corrette poiché 802.11 sta parlando tramite il router (pensate che sia un interruttore in questo contesto) per raggiungere la vostra casella. Da una prospettiva di livello superiore (il confine tra L2 e L3 - che in sostanza è l'ARP) il tuo modello è corretto. (Vittima > Attacker > Router)

Da uno strato inferiore, eventualmente il confine tra L1 e L2, entrambi i dispositivi stanno parlando al router, quindi (Victim - > AP - > Attacker - > AP - > Router - > Internet)

Quindi il dispositivo vittima indirizza un pacchetto all'attaccante e nel processo lo incapsula in un pacchetto 802.11 indirizzato all'Access Point. L'Access Point decapsula e decodifica quel pacchetto, crittografa e incapsula quel pacchetto indirizzato al malintenzionato.

Per rispondere alla tua altra domanda, se funziona, allora sì aggira la chiave transitoria (tenendo presente che conosci già la password per accedere alla rete).

Il modello OSI non è eccezionale nella pratica, ma è ancora il modo in cui penso alle cose ...

Per inciso, ogni router WiFi che ho provato negli ultimi anni (solo una manciata) ha rilevato lo spoofing ARP e bloccato o ha rinviato la vittima con l'indirizzo corretto, rendendosi conto che qualcosa non va. Dubito che sia così comune con AP perché il router è un dispositivo separato di cui l'AP non è a conoscenza. Raramente lo provo perché nella maggior parte dei casi è più semplice mascherare il bersaglio, quindi acquisire la chiave transitoria alla riconnessione.

    
risposta data 08.03.2017 - 15:10
fonte
0

In modo semplicistico, il protocollo ARP è un modo per mappare l'indirizzo hardware (indirizzo fisico) con un indirizzo IP. Poiché gli indirizzi HW sono unici, fornisce ai router un mezzo per sapere a quale computer inviare sul livello di collegamento dati.

L'avvelenamento ARP è un metodo di attacco in cui l'attaccante invia messaggi ARP che pubblicizzano il proprio indirizzo fisico come associati a un IP e un router di destinazione. I sistemi di destinazione invieranno i dati all'autore dell'attacco in quanto sembra essere la destinazione corretta.

Questo vale per i sistemi locali WiFi e cablati poiché ARP è un protocollo di rete locale.

Descrizione di base (che è ciò che penso che il tuo diagramma mostri:

  • L'attaccante dice a Target Server che il router si trova a 192.168.1.1 con HW ADDR: AA: BB: CC: DD: EE: FF
  • L'attaccante dice al router che il server di destinazione si trova a 192.168.1.2 con HW ADDR: AA: BB: CC: DD: EE: FF
  • Il server di destinazione ritiene che i router HW ADDRR siano AA: BB: CC: DD: EE: FF e tramite il collegamento dati e li invia all'autore dell'attacco.
  • L'interprete interpreta, annusa i suoi dati e li invia sul router.
  • Il router riceve le informazioni pensando che provenga dalla Target

Sembra che ci sia confusione nel thread collegato, ma indicare gli altri stanno facendo, Sniffing WiFi e decifrare il suo algoritmo di incapsulamento e lo spoofing ARP su cose diverse.

    
risposta data 08.03.2017 - 19:38
fonte

Leggi altre domande sui tag