Non riesco a capire in che modo un attacco MITM annusa i pacchetti e li modifica. Nel caso dello spoofing ARP, sebbene l'attaccante abbia falsificato l'indirizzo MAC di un host, come lo modifica? se ascolta il messaggio tra il mittente e la destinazione e dopo il messaggio consegnato a destinazione, ha inviato una risposta ARP gratuita? quando conosce il messaggio consegnato a destinazione?
Generalmente, per eseguire un attacco MITM tra A e amp; B, devi applicare 3 passaggi:
Per rispondere alla tua domanda, ci sono 3 tipi di pacchetti ARP, i normali pacchetti send e reply e gratuiti .
Usando pacchetti gratuiti, l'attaccante può modificare o "avvelenare" la cache dei bersagli, in modo da poter ingannare entrambi gli A & B, e rimangono nella loro tabella ARP come parte legittima della connessione.
Si noti che questo tipo di attacchi può essere interrotto utilizzando alcuni tipi di interruttori che sono in grado di intercettare la rete per i pacchetti arp gratuiti e inviare nuovamente i dati corretti attraverso la rete.
Leggi altre domande sui tag man-in-the-middle spoofing detection arp-spoofing