Come può essere usato Port Stealing come attacco MiTM?

3

Ho letto e provato molti attacchi MiTM ma non capisco come utilizzare Port Stealing come attacco MiTM.

Nella mia comprensione si può "rubare" una porta inviando i frame Ethernet che simulano l'indirizzo MAC della vittima con l'obiettivo di confondere lo switch in un punto in cui il CAM-Table associa la porta dell'attaccante con l'indirizzo MAC delle vittime che per davvero è dietro un'altra porta.

Ciò comporterà che l'attaccante riceve tutti i pacchetti destinati alla vittima. Ma a questo punto l'attaccante non è in grado di inoltrare i pacchetti alla vittima perché lo switch pensa ancora che la vittima si trovi dietro la porta degli hacker.

Quindi, se ho ragione fino a questo momento, come può essere usato Port Stealing come attacco MiTM?

    
posta davidb 01.10.2015 - 10:54
fonte

1 risposta

2

Il comportamento che descrivi è vero. Tuttavia, il trucco è che il software di attacco non manterrà la porta rubata per sé, procederà nel seguente ciclo:

  1. Ruba la porta,
  2. Ricevi alcuni dati,
  3. Restituisci la porta,
  4. Inoltra i dati alla destinazione reale,
  5. Torna al passaggio 1 rubando di nuovo la porta.

Puoi trovare ulteriori informazioni nella documentazione di Ettercap , che include l'estratto di seguito:

Port Stealing

This technique is useful to sniff in a switched environment when ARP poisoning is not effective (for example where static mapped ARPs are used).

It floods the LAN with ARP packets. The destination MAC address of each "stealing" packet is the same as the attacker's one (other NICs won't see these packets), the source MAC address will be one of the MACs of the victims.

This process "steals" the switch's port of each victim.

Using low delays, packets destined to "stolen" MAC addresses will be received by the attacker, winning the race condition with the real port owner.

When the attacker receives packets for "stolen" hosts, it stops the flooding process and performs an ARP request for the real destination of the packet.

When it receives the ARP reply it's sure that the victim has "taken back" his port, so ettercap can re-send the packet to the destination as is.

Now we can re-start the flooding process waiting for new packets.

    
risposta data 01.10.2015 - 12:46
fonte

Leggi altre domande sui tag