Ho iniziato a conoscere gli attacchi MITM e non riesco a capire alcune cose

3

Ho appena iniziato a conoscere gli attacchi MITM e non riesco a capire alcune cose. Ho poche domande e apprezzo tutte le risposte.

  1. Se l'autore dell'attacco è già nella mia LAN, perché ha bisogno di trp per contraffare spoof o dhcp spoof, può solo annusare tutto il traffico sulla rete, o è vero solo se c'è un hub coinvolto? se non lo è è solo per gestire la crittografia?

  2. perché il grafico arp è in grado di cambiare così rapidamente senza alcuna conferma c'è qualche tipo di protezione che possiamo fare?

  3. Non mi aspetto una spiegazione tecnica completa di questo, ma come fa l'hacker a entrare nella rete e diventa parte della sottorete? significa che ha bisogno di hackerare il router e farsi parte della lan? e significa che è parte di 2 lans? uno suo e uno quello delle vittime?

Ci scusiamo se alcune delle domande sono vogue o bizzarre, solo cercando di capire.

    
posta Mc As 14.04.2018 - 15:21
fonte

4 risposte

3

Lo sniffing passivo non è un attacco MiTM. A seconda della configurazione della rete, lo sniffing potrebbe essere in grado di visualizzare tutte le comunicazioni, ma non può cambiarne nessuna. Un MiTM è quando un utente malintenzionato controlla uno dei nodi direttamente nel percorso di connessione tra il client e il server. Come mostrato in questo diagramma da Wikimedia , pensi di stare parlando al server, direttamente o tramite una serie di nodi fidati, ma stai davvero parlando attraverso un intermediario malvagio.

Cisonomoltimodiperfarsìcheuncomputerusiilpercorsosbagliatoattraversolamacchinadell'attaccante.Lospoofingdivarieimpostazionidirete(adesempio:spoofingARPo attacco gemello malvagio ) è una strategia comune. Un altro potrebbe essere infiltrarsi nella macchina di un fornitore di rete.

Il modo in cui l'attaccante raggiunge lo status MiTM è altamente situazionale. Non è che tu possa andare su MiTM.com per attaccare qualsiasi computer al mondo. Hai bisogno di un punto d'appoggio che ottieni sfruttando una vulnerabilità o altri punti deboli della sicurezza (es .: il gemello malvagio fa affidamento su punti di accesso non sicuri).

Per quanto riguarda il motivo per cui le cache ARP sono soggette ad avvelenamento, è una combinazione della necessità di essere dinamici e performanti in una rete di grandi dimensioni e un design di sicurezza debole. Detto questo, l'avvelenamento da ARP non è banale da eseguire. I SO sono dotati di difese , ma a volte possono essere aggirati.

    
risposta data 14.04.2018 - 15:47
fonte
1

If the attacker is already in my LAN why does he need to try to arp spoof or dhcp spoof, can he just sniff all the traffic on the network, or is it true only if there's a hub involved? if it isn't is it only in order to deal with the encryption?

L'attaccante sarà in grado di fiutare il traffico WiFi utilizzando la modalità monitor, senza avvelenamento o hub ARP richiesti. A seconda dell'architettura di rete, l'intercettazione del traffico sul filo può essere più impegnativa. Se viene utilizzato un hub, l'attaccante può mettere la propria scheda di rete in modalità promiscua e sniffare il traffico (Wireshark ha una funzione per farlo). Se viene utilizzato un interruttore, il traffico può essere rilevato con altre tecniche come ARP spoofing o Inondazione MAC , che fa sì che un interruttore si comporti come un hub.

why does the arp chart is able to change so quickly without any confirmation is there some kind of protection we can do?

Esistono tecniche per mitigare lo spoofing ARP come ad esempio:

I'm not expecting a full technical explaination of this but how does the attacker even gets into the network and gets to be part of the subnetwork? is that mean that he needs to hack into the router and make himself part of the lan? and does it means that he is part of 2 lans? one his and one the victims one?

Alcune idee per entrare nella tua stessa rete:

risposta data 14.04.2018 - 16:18
fonte
0

If the attacker is already in my LAN why does he need to trp to arp spoof or dhcp spoof, can he just sniff all the traffic on the network, or is it true only if there's a hub involved? if it isn't is it only in order to deal with the encryption?

L'utente malintenzionato può vedere solo il traffico che arriva al nodo di rete che ha compromesso, perché uno switch limita il traffico solo a quel nodo. Se desidera intercettare i dati tra altri sistemi, dovrà attaccare lo switch o compromettere un altro sistema sulla rete che si trova sul segmento LAN in cui si trovano i sistemi di destinazione.

I'm not expecting a full technical explaination of this but how does the attacker even gets into the network and gets to be part of the subnetwork? is that mean that he needs to hack into the router and make himself part of the lan? and does it means that he is part of 2 lans? one his and one the victims one?

Tipicamente, l'hacker entra nella rete delle vittime sfruttando una vulnerabilità su una macchina (ingannare una persona delle risorse umane per aprire un documento dannoso etichettato "my-resume.pdf" è abbastanza comune) e quindi usa quel computer compromesso come punto d'appoggio per ulteriori esplorazioni e attacchi. Da lì, l'attaccante "fa perno" su altri sistemi della rete fino a quando raggiunge la sua destinazione.

    
risposta data 14.04.2018 - 18:51
fonte
0

Un utente malintenzionato potrebbe intercettare il traffico su una rete cablata solo se la rete è connessa a un hub, tuttavia la maggior parte delle reti utilizza gli switch, quindi è necessario ingannare l'infrastruttura di rete per far passare il traffico attraverso di voi. Quindi lo spoofing ARP.

    
risposta data 17.04.2018 - 18:54
fonte

Leggi altre domande sui tag