Perché ci sono voci duplicate nella tabella ARP in un attacco MitM?

1

Tutto quello che ho letto quando viene rilevato un uomo nell'attacco centrale è che la tabella della cache ARP avrà voci duplicate per l'indirizzo MAC dell'attaccante, ma non riesco a trovare il motivo per cui.

Il modo in cui penso sia (perché uno è falso e l'altra la normale risposta ARP) mi porta a pensare: supponendo che io sia l'attaccante, non sarebbe così facile come non inviare la vera risposta ARP, ma solo quello falso?

    
posta Franzech Domâs 14.06.2016 - 18:15
fonte

2 risposte

1

Diciamo che abbiamo una rete con Bob, Alice e il router. Sei un attaccante, chiamato Eva.

Ora, desideri eseguire un MITM tra Bob e il router. Ora ci sono più opzioni:

  1. Cattura il traffico che fluisce da Bob al router (ad esempio, il traffico scorre su Facebook)
  2. Cattura il traffico che scorre dal router a Bob (ad esempio il traffico che scorre da Facebook a Bob)
  3. Cattura il traffico che scorre in entrambe le direzioni (da Bob a router e router a Bob) = > attacco più comune.
  4. ARP veleno-bomba tutti gli host nella rete

La tabella ARP della vittima (Bob's) avrà un aspetto diverso in ciascuno dei seguenti scenari:

Scenario 1

  • MAC di Eve: IP del router
  • (opzionale) Eve's MAC: Eve's IP

Scenario 2

  • (opzionale) Eve's MAC: Eve's IP
  • [Sul router, il MAC di Eve sarà ora collegato all'IP di Bob]

Scenario 3

  • MAC di Eve: IP del router
  • (opzionale) Eve's MAC: Eve's IP
  • [Sul router, il MAC di Eve sarà ora collegato all'IP di Bob]

Scenario 4

  • MAC di Eve: IP del router
  • Eve's MAC: l'IP di Alice
  • (opzionale) Eve's MAC: Eve's IP
  • [Sul router, il MAC di Eve sarà ora collegato all'IP di Bob]
risposta data 15.06.2016 - 15:09
fonte
0

Quello che potresti descrivere è Avvelenamento ARP (o spoofing), in cui l'attaccante "avvelena" le cache ARP degli host nella sottorete inviando un sacco e un sacco di pacchetti ARP contenenti l'attaccante l'indirizzo di livello 2 (MAC) e il livello 3 della vittima (indirizzo IP), in modo che inviino i loro dati al MAC dell'aggressore quando viene assemblata la cornice ethernet invece del MAC della vittima.

Immagino che se dovessi eseguire la scansione delle tabelle ARP delle macchine interessate, troverai due voci per lo stesso indirizzo MAC, una per il vero indirizzo IP dell'attacker e una per l'indirizzo IP della vittima, sia per stesso MAC (The attackers.)

    
risposta data 15.06.2016 - 00:49
fonte

Leggi altre domande sui tag