A annusa B mentre B sta sniffando C .
- Qual è il traffico in A ? A cattura sia il traffico B che C o solo B ?
Dipende da come viene configurata la rete e da come stanno sniffando.
Con lo sniffing passivo su una rete di trasmissione, tutti vedono tutto. In particolare, se B sta facendo uno sniff abbastanza standard (ad esempio, le impostazioni di default in tcpdump), allora A non solo vede tutto il traffico da B e C, ma può rilevare che B sta fiutando attraverso richieste DNS "trapelate".
Se la rete è attiva, lo sniffing è leggermente più difficile. Supponendo che lo switch sia vulnerabile all'avvelenamento della cache dell'arp (arp spoofing) e A e B non sono privilegiati, potrebbe essere complicato per A avvelenare in modo affidabile la cache per B mentre B sta facendo lo stesso con C. È probabile che nessuno di A, B o C sarà in grado di inviare o ricevere in modo affidabile.
D'altra parte, se A è un amministratore che annusa tramite un mirror della porta di B, quindi A vedrà tutto il traffico che B sta ricevendo, il che significa che A vedrà anche il traffico di C. E sarà ovvio per A che B sta eseguendo un attacco.
Puoi combinare anche questi scenari. Supponiamo che A e B si trovino su un dominio di trasmissione condiviso e C sia su una diversa porta dello switch. Se B avvelena la cache per ricevere il traffico di C, allora A può vedere tutto quel traffico. E ancora, l'attacco sarà probabilmente ovvio per A. (Questo scenario specifico è probabilmente improbabile, ma ho visto alcune configurazioni strane.)
Potrebbe anche essere possibile che B sia l'amministratore e inavvertitamente perde una porta monitorata in modo che A possa annusarlo.
Dipende da come stanno annusando. Se è solo una rete di trasmissione, come il WiFi o un hub, tutti si vedono il traffico. Se questa è stata una specie di strano arp spoof , allora sì, A potrebbe vedere sia il traffico di B che quello di C. Anche se la tabella ARP sarebbe molto corrotta e B probabilmente vedrebbe che qualcosa non andava. Comunque A potrebbe compensare questa strana trappola a tre vie e cercare di riparare la tabella ARP mentre B cerca di danneggiarla per i propri fini.
Saresti ancora sulla stessa rete.
A otterrebbe B solo se non avveleni l'intera sottorete.
Se stavi usando metasploit forse, potresti usare B come pivot per qualsiasi cosa tu faccia a C ...
Suggerirei di apprendere i fondamenti del networking prima di saltare agli sniffer e alle subnet perché, se eseguite illegalmente, non saresti difficile da catturare.