Quando un utente accede con credenziali di dominio su un computer Windows 7, presumo che una sorta di stretta di mano avvenga con il server di accesso / controller di dominio, dove l'hash ntlm inviato dall'utente viene confrontato con l'hash sul controller di dominio .
Se questo è il caso, è possibile annusare il traffico di rete inviato ai controller di dominio per intercettare gli hash delle password usando gli attacchi arp spoofing / mtim? O gli hash stessi sono criptati in transito?