Man in the Middle attack?

2

in uno scenario in cui ho un gateway per Internet e uno switch (layer 2) collegato a questo gateway. Ho due computer nello stesso dominio di trasmissione connesso allo switch. tutto il traffico verso Internet deve passare attraverso il gateway.

da uno dei computer I ARP avvelena l'altro inviando false risposte ARP indicano che questo computer è il gateway. così ora uno dei computer pensa che l'altro sia il gateway. allora I ARP avvelena il gateway per questo stesso computer vittima e ora uno dei computer agisce come MITM funziona e posso vedere che le cache ARP hanno cambiato l'indirizzo MAC. tutto il traffico Internet può essere annusato (ignora SSL per questo esperimento). solo il traffico emesso tramite il gateway può essere annusato mentre un computer è nel mezzo.

diciamo che un server web è aggiunto allo switch e che il traffico da entrambi i computer sullo stesso switch non deve passare attraverso il gateway per accedere al server web perché lo switch ha una tabella CAM e il traffico dal computer passa all'interruttore e gli switch CAM cache dicono che l'indirizzo MAC è sulla porta x quindi in pratica il traffico non passa attraverso il gateway. in questo scenario come si può agire come MITM?

hai arp veleno o qualcosa di simile l'interruttore è un interruttore di livello 2? Come si fa ad avvelenare un interruttore per un attacco MITM?

Mi sento come se mi mancasse qualcosa di semplice

il mio esperimento mi ha permesso di annusare tutto il traffico in corso su Internet, ma non ho potuto annusare il traffico diretto al server web che si trova sullo switch. forse "semplicemente" arp avvelenare la cache arp del server web e di nuovo arp cache il computer vittima?

sì il port forwarding è abilitato nel caso sia richiesto.

    
posta Darragh 27.07.2016 - 07:17
fonte

1 risposta

2

L'idea di base è semplice come hai detto, MITM funziona nello scenario di spoofing ARP come segue:

Per eseguire MITM tra A e B:

  1. Trucco A per pensare che tu sia B
  2. Trucco B per pensare di essere A
  3. Abilita l'inoltro dei pacchetti

Questo è tutto! quindi, indipendentemente dal tuo ambiente, che si tratti di uno switch o hub o anche di un server proxy, il principio è lo stesso.

Quindi, la risposta alla tua domanda è: Sì. Devi eseguire l'attacco tra la vittima e il server che viene eseguito sulla stessa rete. E per ogni server che metti su questa rete, dovrai fare lo stesso.

PS: Non è una buona idea, ma puoi usare il cosiddetto attacco di spoofing ARP "Hail Mary", in pratica esegui lo spoofing ARP su tutti i dispositivi locali e pretendi di essere uno o più dispositivi. In questo modo, tutti i dispositivi saranno indotti a credere che l'autore dell'attacco sia il server, il gateway e tutte le altre macchine importanti.

    
risposta data 27.07.2016 - 09:02
fonte

Leggi altre domande sui tag