Spoof di un altro indirizzo IP nella stessa rete, la fonte dello spoofing riceverà la risposta?

3

Ho letto alcuni articoli sullo spoofing IP. In breve, l'IP-spoofing significa che l'attaccante usa un falso indirizzo IP nell'intestazione IP, per far finta che questo pacchetto IP sia inviato da un'altra macchina.

L'attaccante può usarlo per fare qualcosa come attacco Denial-of-Service (con altra tecnologia avanzata) ... e nascondere l'indirizzo IP reale della sorgente.

In quegli articoli, ha anche menzionato che l'autore dell'attacco non può vedere alcun pacchetto di risposta, perché quei pacchetti di risposta saranno inviati all'indirizzo IP falsificato.

La mia domanda è, se il falso indirizzo IP si trova nella stessa rete (sotto lo stesso dominio di collisione) in cui l'attaccante invia pacchetti contraffatti, l'attaccante riceverà i pacchetti di risposta?

Grazie.

    
posta 柯鴻儀 05.11.2015 - 20:49
fonte

4 risposte

1

All'interno di un dominio di collisione non ci sono filtri sul filo. Quindi la risposta sarà consegnata alla NIC degli aggressori.

Normalmente la NIC degli aggressori rilascia tali pacchetti senza passarli all'host ma se l'attaccante mette il proprio nic in "modalità promiscua" otterrà la risposta.

P.S. se in realtà intendevi un dominio di trasmissione piuttosto che un dominio di collisione, vedi la risposta di davidb.

    
risposta data 11.10.2016 - 13:47
fonte
4

Si basa su quanto sei lontano nello spoofing. Quando si falsifica solo l'indirizzo IP ma non l'indirizzo mac, l'host originale otterrà la risposta.

Se non hai solo spoofato l'indirizzo IP ma anche l'indirizzo mac, può capitare che tu riceva anche la risposta. Questo perché gli switch sulla tua LAN fanno mappare gli indirizzi mac alle porte fisiche. Questo significa che puoi "per sbaglio" causare ciò che viene chiamato "rubare la porta" anche spoofando l'indirizzo mac. Questo succede quando l'interruttore vede che l'indirizzo mac che è assegnato all'indirizzo IP falsificato appare sulla tua porta. Lo switch quindi cambia la sua tabella CAM e assegna l'indirizzo mac spoofato alla tua porta.

Il furto della porta funzionerà solo quando si inviano continuamente pacchetti con spoofing che non sembrano essere il caso. Quindi, quando succede, funzionerà solo per pochissimo tempo fino a quando l'indirizzo mac non sarà nuovamente assegnato alla porta giusta nella tabella CAM.

    
risposta data 05.11.2015 - 21:38
fonte
2

L'IP si risolve ancora nel MAC memorizzato nella tabella ARP delle destinazioni e questo è l'indirizzo della rete locale. Quindi sì, non vedi le risposte finché non avveleni la cache ARP del tuo target.

    
risposta data 05.11.2015 - 21:28
fonte
1

La risposta destinata a un nodo in una rete viene sempre ricevuta da tutti i nodi di quella rete, è solo che le NIC sono progettate per scartare il pacchetto se l'indirizzo MAC di destinazione non corrisponde al suo. Questo comportamento predefinito può essere sovrascritto inserendo la scheda NIC in modalità promiscua (se supportata dalla scheda NIC). Ciò farà sì che la scheda NIC non scarti il pacchetto (nel livello fisico) e invii il passaggio al livello più alto. Puoi eseguire il tuo programma come TCPDUMP o WireShark nei livelli superiori per acquisire e analizzare quei pacchetti.

    
risposta data 11.10.2016 - 17:01
fonte

Leggi altre domande sui tag