Voglio acquisire tutto il traffico Internet su una piccola rete, quindi sto sperimentando lo spoofing ARP del gateway predefinito ma non vedo le voci della cache ARP falsificate.
Sto usando due macchine Linux sulla rete, una - la macchina attacco - esegue ettercap e l'altra svolge il ruolo di vittima . Il terzo partecipante è il gateway predefinito che è un tipico router ADSL. Ci sono altri dispositivi sulla rete. Tutti i dispositivi sono collegati via ethernet (cablato).
Eseguo ettercap (versione 0.8.2) in questo modo:
ettercap -T -j ettercap.hosts -M arp:remote -w ettercap.pcap /10.0.0.10/ //
dove ettercap.hosts contiene gli host sulla rete (essendo una classe A, una scansione non è pratica) e l'indirizzo IP è quello del gateway predefinito.
L'esecuzione di arp sulla vittima mostra che ha il MAC corretto per il gateway predefinito ma mi aspetto che mostri il MAC per la macchina che esegue ettercap . Vedo simili sul router: ha il MAC corretto per la macchina vittima. Mi aspettavo che le cache arp fossero modificate per puntare alla macchina d'attacco.
L'esecuzione di wireshark sul computer della vittima mostra che i pacchetti ARP vengono inviati da ettercap ma non hanno alcun effetto. Ad esempio:
136 13:50:12.666418095 Sony_8d:3f:5e AsustekC_b9:59:24 ARP 60 10.0.0.10 is at 00:01:4a:8d:3f:5e
Presumo che fraintenda o manchi qualcosa ma non sono chiaro cosa.
Qual è il modo giusto di usare ettercap per arp spoofare il gateway predefinito per registrare tutto il traffico?