Sembra che nmap possa falsificare l'indirizzo IP di origine e ottenere una risposta valida, ma solo nell'ambiente LAN. Non sono sicuro di come funzioni, ecco il mio pensiero,
Hai creato un pacchetto con un indirizzo IP falso e un indirizzo MAC falso (associato all'IP falso), in modo tale che tu abbia spoofato l'origine del pacchetto e sia stato in grado di ottenere i dati di risposta.
Ma è improbabile che funzioni in un ambiente LAN a commutazione o con VLAN abilitata.
Quindi, qualcuno lo sa?
Un switch di rete funziona ispezionando i pacchetti mentre vanno e vengono. Quando un interruttore rileva che un pacchetto arriva su una determinata porta, con l'indirizzo MAC di origine X , lo switch ricorda che la macchina con indirizzo MAC X si trova a un certo punto oltre quella porta e i pacchetti destinati a l'indirizzo MAC X saranno inviati a quella porta. Nota che agli switch non interessa gli indirizzi IP (beh, alcuni switch raddoppiano come ispettori del traffico e sanno quali sono gli indirizzi IP, ma il comportamento degli switch avviene a livello ethernet e si occupa degli indirizzi MAC, non degli indirizzi IP).
Se l'attaccante sta inviando pacchetti con X come indirizzo di origine e si aspetta risposte destinate a X , quindi, con qualsiasi definizione ragionevole, X non è un "falso indirizzo": è l'indirizzo che l'utente malintenzionato sta assumendo e, dal punto di vista della rete, è molto reale.
Il vero problema si presenta quando l'utente malintenzionato tenta di rubare un indirizzo IP . L'attaccante osserva che c'è una macchina attiva, con qualche indirizzo IP U e indirizzo MAC Y , e l'attaccante vuole emettere pacchetti che sembreranno come se provenissero da quel macchina, e vedere anche la risposta di un'altra macchina V . L'autore dell'attacco ha due possibili modi:
L'attaccante può provare a utilizzare un indirizzo X diverso da Y , ma ancora rubare l'indirizzo U . Il problema è che la macchina V è consapevole che la macchina autentica U ha un indirizzo MAC Y ; questa consapevolezza viene dal protocollo ARP . Per raggiungere i suoi obiettivi, l'attaccante dovrà spammare macchina V con risposte ARP false in modo che V si convinca che l'indirizzo MAC per l'indirizzo U è X . Questo è noto come ARP spoofing o "avvelenamento ARP".
Si noti che lo switch vede solo gli indirizzi MAC Y e X , debitamente distinti l'uno dall'altro, e non ha alcun impatto qui. L'attaccante non ha nulla di speciale da fare per ingannare l'interruttore se sceglie in questo modo.
L'attaccante può provare a utilizzare entrambi l'indirizzo IP U e l'indirizzo MAC X . Il punto di forza di questo metodo è che non c'è niente da fare con riguardo alla macchina V : quella macchina ricorda che U esegue la mappatura a X , e , per quanto riguarda l'attaccante, va bene. D'altra parte, lo switch diventa un problema: quell'interruttore ha già visto alcuni pacchetti con l'indirizzo sorgente X , provenienti da una porta diversa da quella usata dall'attaccante. L'autore dell'attacco potrebbe non vedere la risposta.
Per contrastare ciò, l'attaccante prima invierà spam all'interruttore con migliaia di pacchetti, pieni di spazzatura casuale, presumibilmente provenienti da migliaia di indirizzi MAC casuali. Lo switch ha solo RAM limitata per ricordare tutte le mappature degli indirizzi MAC alle porte, quindi l'assalto dello spamming farà dimenticare l'indirizzo X . A quel punto, dato un pacchetto con indirizzo di destinazione X , lo switch si degraderà in modalità hub e trasmetterà il pacchetto su tutte le porte, inclusa quella che porta all'autore dell'attacco.
La situazione può essere resa più complessa con switch moderni che impiegano algoritmi di routing più complessi per supportare reti ridondanti. Il principio base è che gli indirizzi MAC sono sconosciuti agli switch, che li scoprono dinamicamente osservando i pacchetti in transito. Una contromisura che può essere impiegata con alcuni switch è ton configurarli, staticamente, con associazioni note di indirizzi MAC con porte. Questo perde flessibilità (una macchina specifica verrà rifiutata se non collegata alla porta destra), ma può rendere gli switch più robusti contro tali attacchi.
(Non lasciare che le persone malvagie si colleghino direttamente al tuo switch sarebbe meglio, però.)
I pensa che cosa stai cercando è attacco di avvelenamento ARP . Questo attacco fa sì che il tuo indirizzo MAC sia associato a un indirizzo IP diverso in modo che tutti i pacchetti diretti all'indirizzo IP vengano inviati alla tua macchina.
Leggi altre domande sui tag network mac-address ip-spoofing vlans