In che modo wireshark cattura i pacchetti in LAN senza arpspoof?

Naviga le tue risposte
3

Ho creato un ambiente di laboratorio con Windows 7 e Kali Linux in VMware.

In Kali Linux, ho aperto Wireshark e ho iniziato ad ascoltare il traffico su eth0. Successivamente, nel mio computer Windows 7, ho aperto un sito HTTP e inserito alcune informazioni di accesso a quel sito.

Wireshark è riuscito a catturare le informazioni di accesso.

In che modo Wireshark cattura questi pacchetti? Windows 7 ha inviato i suoi pacchetti al router, ma Wireshark è riuscito a catturarli.

Non ho usato arpspoof per l'attacco MITM quindi non ho indotto Windows 7 a pensare che la macchina di Kali fosse il gateway o il gateway in quanto la macchina di Kali è Windows 7. Quindi la mia ipotesi era che Wireshark non dovesse catturare quei pacchetti ma li ha catturati comunque.

Qualcuno può dirmi perché?

    
posta G.Baysec 18.11.2018 - 18:22
fonte

2 risposte

0

Il motivo per cui Wireshark può acquisire tutti i pacchetti è a causa dell'ambiente NAT. IN NAT, le VM in VMware utilizzeranno l'adattatore fisico. Questa è la NIC del mio computer. Quindi VMware fornisce la scheda ethernet alle VM. Sia Windows 7 che kali utilizzeranno la stessa scheda Ethernet perché VMware punta la mia scheda ethernet su questa VM per l'accesso a Internet. Quindi, quando annuso eth0 da Wireshark, poiché Windows 7 usa la stessa scheda Ethernet, tutti i pacchetti verranno catturati da Wireshark. Questo laboratorio dovrebbe essere fatto in ambiente di rete con adattatore a ponte. In quell'ambiente, VMware dovrebbe isolare le NIC per le VM. In questo modo, c'è bisogno di arpspoofing per catturare il traffico da kali.

    
risposta data 21.11.2018 - 20:16
fonte
5

Questa non è in realtà una domanda di sicurezza. La domanda che vuoi porre è come un nodo su una rete può vedere i pacchetti che non sono destinati a questo. Per questa risposta, è necessario capire come funziona la rete Ethernet.

Le reti Ethernet sono reti di trasmissione, il che significa che ogni nodo sullo stesso segmento può vedere il traffico di tutti gli altri nodi. Non sono richiesti trucchi.

Un interruttore e un punto di accesso Wi-Fi agiscono come un interruttore, interrompono queste zone di trasmissione (principalmente) in modo che solo i nodi che devono parlare tra loro vedono il traffico. Ecco perché è necessario arp-spoof: devi ingannare il nodo vittima per inviarti prima il traffico e poi passarlo alla destinazione desiderata.

Ma senza un interruttore, tutti possono vedere il traffico di tutti. Quindi, Kali's Wireshark potrebbe semplicemente e facilmente vedere il traffico inviato dall'altro nodo. Non sono richiesti trucchi.

    
risposta data 18.11.2018 - 18:40
fonte

Leggi altre domande sui tag

Che cos'è httpvh: // ed è il risultato di qualcosa di malevolo? Disabilitare il firewall di Windows da remoto