Da un file PCAP determinare se l'indirizzo è stato falsificato?

2

Leggendo lo strumento hPing, è possibile spoofare un indirizzo interno, dal lato del rilevamento di questo come si farebbe per rilevare questo? ci sono segni tell-tail?

EDIT: pensandoci, potresti usare l'indirizzo MAC dell'IP interno, ma ci sono altri modi ??

    
posta KingJohnno 27.02.2018 - 15:28
fonte

1 risposta

2

Ci sono un paio di cose a cui pensare con la tua domanda.

Per prima cosa, menzioni "spoofing internal address". Supponendo che intendi lo spoofing di uno spazio riservato per gli indirizzi privati 10.a.b.c o 192.168.a.b , come pensi di ottenere il pacchetto nella rete della vittima? Quelli sono indirizzi "non instradabili", il che significa che nessun router internet sa dove inviare un indirizzo 10. . Questo include il router di casa, che non invierà 10. pacchetti su Internet in primo luogo. Perché questo attacco funzioni, devi già essere nella rete della vittima.

Ora supponiamo che tu stia attaccando con successo dalla rete interna. Sì, puoi falsificare un IP sorgente, ma come vedrai la risposta? La risposta verrà inviata all'IP reale, non alla tua macchina. Per risolvere questo, dovrai prendere il vero indirizzo. Questo può essere fatto usando una tecnica come avvelenamento della cache ARP . E gli attacchi ARP sono rilevabili con alcuni tipi di strumenti di monitoraggio della rete, quindi non è garantito un attacco completamente invisibile.

Un'altra opzione sarebbe se la tua macchina si trova sulla stessa sottorete della macchina vittima e hai pieno accesso allo switch di rete. La maggior parte degli switch gestiti consente la creazione di una "mirror port" per acquisire pacchetti per gli strumenti di monitoraggio della rete. Potresti teoricamente usare i dati dalla porta mirror per vedere le risposte e montare il tuo attacco; ma tieni presente che questo continuerà a recapitare i pacchetti di risposta al computer della vittima.

    
risposta data 27.02.2018 - 19:57
fonte

Leggi altre domande sui tag