in uno scenario in cui ho un gateway per Internet e uno switch (layer 2) collegato a questo gateway. Ho due computer nello stesso dominio di trasmissione connesso allo switch. tutto il traffico verso Internet deve passare attraverso il gateway.
da uno dei computer I ARP avvelena l'altro inviando false risposte ARP indicano che questo computer è il gateway. così ora uno dei computer pensa che l'altro sia il gateway. allora I ARP avvelena il gateway per questo stesso computer vittima e ora uno dei computer agisce come MITM funziona e posso vedere che le cache ARP hanno cambiato l'indirizzo MAC. tutto il traffico Internet può essere annusato (ignora SSL per questo esperimento). solo il traffico emesso tramite il gateway può essere annusato mentre un computer è nel mezzo.
diciamo che un server web è aggiunto allo switch e che il traffico da entrambi i computer sullo stesso switch non deve passare attraverso il gateway per accedere al server web perché lo switch ha una tabella CAM e il traffico dal computer passa all'interruttore e gli switch CAM cache dicono che l'indirizzo MAC è sulla porta x quindi in pratica il traffico non passa attraverso il gateway. in questo scenario come si può agire come MITM?
hai arp veleno o qualcosa di simile l'interruttore è un interruttore di livello 2? Come si fa ad avvelenare un interruttore per un attacco MITM?
Mi sento come se mi mancasse qualcosa di semplice
il mio esperimento mi ha permesso di annusare tutto il traffico in corso su Internet, ma non ho potuto annusare il traffico diretto al server web che si trova sullo switch. forse "semplicemente" arp avvelenare la cache arp del server web e di nuovo arp cache il computer vittima?
sì il port forwarding è abilitato nel caso sia richiesto.