Ho un laboratorio di base con una macchina virtuale Win7 in una LAN e un'altra (vyos) che funge da gateway predefinito.
Quando avvio la mia VM Kali Linux (è collegata allo stesso segmento LAN) posso vedere richieste ping e risposte in Wireshark tra la VM di Win7 e il router (vyos). Non capisco come sia possibile. Non ho ancora avviato alcun attacco di spoofing ARP e, quando guardo la traccia, sulla scatola di Kali posso vedere che l'indirizzamento L2 e L3 sta facendo corrispondere l'indirizzamento dell'host e del router LAN, quindi cosa sta succedendo?
EDIT: Inoltre, la scheda NIC di Kali VM è impostata sulla modalità promiscua ma questo mi ha fatto pensare che in un ambiente fisico Ethernet non avremmo comunque visto i pacchetti, dovremmo configurare SPAN / mirroring sull'interruttore per rispecchiare prima i pacchetti sul porta su cui stiamo ascoltando in modalità promiscua.
Quindiladomandaè:gliambientivirtualisonoabbastanzabuoniperquestotipodiattività?Odovreiattenermiauninterruttorefisico?Perorasembranoesserepiuttostoconfusi.
EDITEccolatopologia:
Quindieccocosafaròdopo:a)creareunavocearpstaticasuWin7permapparel'IPdelgatewaypredefinitosulsuoMACb)suKaliLinuxsullacorrispondenteschedaNIC-modalitàpromiscuadisattivatac)haavviatoettercapehascopertotuttiglihost(rilevaWin7eVMvyos)d)selezionagliobiettivirispettivamentee)avviarel'attaccodispoofingARP-possovederesulWindows7boxunreplayARPfalsoversolaVMWin7f)ancheXARPnellacasellaWin7segnalaqualcosadi"insolito":
g)PoicontrollolatabellaarpsulboxdiWindows7esembraok,vogliodirechelavocestaticanonèstatasovrascrittaeanchelavocedinamicavabene,perchémappal'IPdiKalisulsuoMAC
h) ma quando avvii Wireshark su Kali VM posso vedere i pacchetti ICMP, ma WHY ? OK, l'ho appena capito. In effetti, posso vedere solo Echo Replay dal gateway a Windows7 perché la tabella arp sul router (vyos) non contiene alcuna mappatura statica, quindi dirige tutto il traffico attraverso la VM Kali, ma il traffico dalla VM di Win7 è andando direttamente al router.