ARP-spoofing: perché l'attaccante invia costantemente risposte ARP?

2

Ho capito il concetto di base di come funziona lo spoofing dell'arp. Tuttavia, sto lottando con i dettagli.

Perché un utente malintenzionato deve inviare costantemente annunci di arp falsificati alla rete?

Un client accetta solo il primo annuncio arp che arriva dopo la richiesta di un determinato indirizzo MAC di un indirizzo IP (ovvero che la risposta spoof inviata costantemente è più veloce della risposta con l'indirizzo MAC effettivo) o tutti i client aggiornano regolarmente le loro cache ascoltando gli annunci arp sulla rete?

    
posta lalu 10.07.2017 - 00:23
fonte

2 risposte

1

Quando un host invia una risposta ARP senza richiesta ARP, questo è un ARP gratuito

Nel tuo caso, questo è utile per due ragioni:

  • Se il nuovo host si connette alla rete riceverà l'ARP gratuito e sarà automaticamente vittima dell'attacco
  • Se un host non invia traffico, l'entrie nella cache ARP sarà chiara. Quindi con l'ARP gratuito, il timeout viene sempre resettato.

E ogni client che riceve l'ARP gratuito aggiornerà la propria cache ARP.

    
risposta data 10.07.2017 - 01:38
fonte
1

Il messaggio inviato viene chiamato risposta ARP gratuita che significa che la macchina trasmette il suo ARP piuttosto che aspettare che un client lo chieda. Pensa ad un "Ciao, sono qui!"

Il motivo per cui continua a farlo è quello di garantire che tutti i client mantengano la cache ARP guardando agli aggressori MAC. Altrimenti la macchina originale potrebbe trasmettere il loro messaggio ARP gratuito 'ciao sono qui!' e far sì che i client vedano di nuovo il loro vero MAC.

Invia inoltre i messaggi in modo continuativo per garantire che i nuovi clienti lo vedano, aggiornando i client in scadenza.

    
risposta data 10.07.2017 - 08:49
fonte

Leggi altre domande sui tag