Ho effettuato un attacco di avvelenamento da arp dalla mia macchina virtuale alla macchina reale con dati cauti e in grado e raccolti con wireshark da una macchina reale. Mentre stavo indagando sui dati con wireshark mi sono imbattuto in un flusso di dati come immagine.
Che cosa significa? Mi aspettavo solo una tempesta ARP. Posso usare le informazioni in questa immagine per rilevare un attacco di poisioning ARP? O cavolo e abile usare un trucco diverso?
In breve, quella scansione non mostra alcuna informazione sul livello 2. Sei interessato a quale indirizzo MAC il computer associa a un dato indirizzo IP.
L'avvelenamento ARP influisce sul livello di rete 2 o sul livello ethernet. Mentre il computer invia ancora il messaggio allo stesso indirizzo IP (livello 3), il pacchetto termina con un indirizzo di livello 2 diverso che pretende di possedere quell'IP. Supporta di possedere quell'indirizzo IP avvelenando ARP nel tentativo di associare quell'IP con un indirizzo MAC diverso.
Una volta che il computer, ad esempio, ha rilevato l'IP del server DNS, può servire record DNS non validi o qualsiasi altro servizio subdolo che desidera eseguire.
Leggi altre domande sui tag network wireshark sniffer arp-spoofing