Problema con ARP-Spoofing

3

prima di tutto ho una domanda di base sul traffico di rete:

Tutti i dispositivi nella rete sono collegati con WLAN e un router. Se invio un messaggio dal mio computer a un altro dispositivo nella rete per IP, il mio computer cerca nella tabella arp l'indirizzo mac di quell'ip. Se non trovato, invia arp broadcast cercando quell'ip. Se trovato, forma un pacchetto con il mac di destinazione dal dispositivo di destinazione (NON il mac dal router) e invialo. Il router riceve questo pacchetto e (ora agisce come un interruttore di livello 2) guarda nella sua tabella dei mac address (sat) per questo mac target e lo invia lì.

È corretto?

Ora per il mio problema con arpspoofing. Sono coinvolti tre dispositivi:

Attacker running Kali: x.x.x.105 (34:F3:xx:xx:xx:xx)
Target running Win10: x.x.x.107 (80:56:xx:xx:xx:xx)
Router: x.x.x.1 (44:6e:xx:xx:xx:xx)

L'attaccante ha abilitato l'inoltro IP.

Ora ho avviato due istanze di arpspoof:

arpspoof -i wlan0 -t x.x.x.107 x.x.x.1

arpspoof -i wlan0 -t x.x.x.1 x.x.x.107

Agli attaccanti Wireshark posso vedere tutte le risposte arp in uscita. Dicono anche che viene rilevato più utilizzo IP! Tabella arp cancellata dopo l'avvio di arpspoof. Lo spoof sta funzionando da quasi un'ora.

Tuttavia nei miei obiettivi Wireshark non riesco a vedere i messaggi arp in arrivo da parte di un utente malintenzionato.

La tabella arp di windows non cambia. Anche il mio router non sembra aggiornare la sua tabella arp.

Non riesco a trovare il problema qui. Win10 blocca le risposte arp non richieste?

Questo è solo a scopo didattico. Grazie

    
posta Saueee 28.02.2018 - 23:06
fonte

1 risposta

2

Ci sono alcune spiegazioni migliori qui sotto, è una supposizione istruita: avvelenamento ARP tra una rete cablata e wireless

La parodia dovrebbe funzionare quasi immediatamente se funziona correttamente. I nuovi dispositivi vedranno l'arp gratuito da parte dell'utente malintenzionato e aggiorneranno automaticamente la cache. Una vittima non rileverà l'IP duplicato, dovrebbero solo aggiornare la mappatura. Il problema è probabile al router.

Arpspoof funziona tramite uno switch perché lo switch non ha modo di sapere quale porta è il legittimo indirizzo IP / mappatura MAC, quindi senza alcuna forma di sicurezza della porta / snooping DHCP / controllo arp dinamico, deve avere fiducia che un dispositivo sia chi dice che è quando afferma che "192.168.1.1 è aa: bb: cc: dd: ee: aa" nella sua risposta arp / arp gratuito.

Non sono sicuro delle reti wireless, ma mi sembra che un router, anche se funzioni al livello 2, che commuta il traffico all'interno della rete, probabilmente analizzerebbe i pacchetti arp, proprio come fa un interruttore, in modo che potrebbe anche aggiornare la propria tabella arp. Potrebbe essere la caduta di questi archi gratuiti dall'attaccante perché è chiaro che non è legittimo, perché sta usando il suo indirizzo e sta pubblicizzando un mac diverso dal suo.

    
risposta data 01.03.2018 - 18:40
fonte

Leggi altre domande sui tag