Ettercap man in the middle - Veleno ARP

1

Sto sperimentando un po 'con Ettercap nella mia LAN locale. Ho un router (R), il mio pc (P) con Ettercap in esecuzione su di esso e il mio smarthphone (S). In particolare sto testando l'attacco MIM del veleno ARP e sembra funzionare, ma ho qualche dubbio.

Sono stato in grado di far credere a R che P abbia l'indirizzo S mac e di far credere che P abbia l'indirizzo MAC. Quindi il router mappa l'IP dello smartphone sull'indirizzo MAC del mio PC e lo smartphone mappa l'IP del router con l'indirizzo MAC del mio PC.

Ora, quando lo smartphone invia pacchetti al router, utilizza l'indirizzo mac del PC e quando il router invia pacchetti allo smartphone utilizza l'indirizzo mac del PC. Supponiamo che il router invii un pacchetto che dovrebbe essere per lo smartphone, lo smartphone otterrà il pacchetto poiché sto usando il WIFI in modo che tutti possano vedere tutto, ma lo faranno cadere a causa dell'incompatibilità dell'indirizzo Mac? Inoltre, il PC sarà in grado di ricevere pacchetti Smartphone dal router, ma il livello 2 non farà cadere i pacchetti in quanto l'indirizzo Mac corrisponde all'indirizzo PC Mac, ma poiché l'IP non corrisponde, il Kernel non dovrebbe rilasciarlo?

    
posta Edge7 18.04.2018 - 21:17
fonte

2 risposte

0

Ho investigato molto su questo negli ultimi giorni: Per impostazione predefinita, Linux elimina pacchetti con indirizzo MAC diverso dall'indirizzo MAC della NIC su cui riceve il pacchetto. La modalità promiscua dovrebbe modificare questo comportamento. Se l'attacco ARP-spoofing ha avuto successo, l'Uomo nel mezzo riceverà i pacchetti da R e S (vedi la mia domanda per la definizione S e R), che avrà l'indirizzo MAC P (questo è il punto dello spoofing ARP) ma differente IP. Puoi leggere questi pacchetti usando diversi strumenti come Wireshark. Ho fatto esperimenti con libcap (ho usato quella libreria in un programma in C), che penso sia usata da Ettercap, e con ciò, puoi prendere quei pacchetti e anche modificare e re-forward. Si noti che Ettercap non abilita l'inoltro IP di default facendo:

echo 1 > /proc/sys/net/ipv4/ip_forward

Altrimenti, il kernel stesso inoltrerà i pacchetti, ma Ettercap offre anche modifiche ai pacchetti e drop di pacchetti, il che è possibile solo se il kernel non si occupa di questi pacchetti.

    
risposta data 23.04.2018 - 17:46
fonte
-2

Il computer che attacca non rilascia il pacchetto perché l'inoltro ip è abilitato da ettercap prima dell'avvio dell'attacco. Se l'inoltro ip non è abilitato e questi due dispositivi (il computer e lo smartphone) non sono collegati, il computer rilascia il pacchetto. L'attacco ARP DoS sfrutta questa tecnica semplicemente scartando le richieste e bloccando così la connessione tra la vittima e il router.

    
risposta data 23.04.2018 - 16:48
fonte

Leggi altre domande sui tag