In ARP spoofing, is it two MACs mapping to one IP address OR two IPs mapping to one MAC address?
Nessuno dei due. Sì, lascia che affondi per un secondo. Lo spoofing ARP può essere coinvolto in entrambe le situazioni che stai descrivendo, tuttavia le situazioni che stai descrivendo potrebbero non includere lo spoofing ARP.
Quindi cos'è lo spoofing ARP? Lo spoofing ARP è semplicemente il nome quando un dispositivo / interfaccia di rete "contraffa" o imita i messaggi ARP per un indirizzo IP che il dispositivo non sta effettivamente utilizzando.
two MACs mapping to one IP address
Questo potrebbe essere semplicemente un errore di configurazione. Entrambi i dispositivi potrebbero avere lo stesso indirizzo IP configurato e, in quanto tale, non avviene alcuno spoofing ARP. Questo sarebbe semplicemente un conflitto IP, che crea problemi ma non può essere chiamato spoofing ARP.
Tuttavia, molti attacchi ARP che utilizzano lo spoofing generano conflitti IP poiché lo spoofing spesso falsifica gli indirizzi IP di altri dispositivi reali.
two IPs mapping to one MAC address
Questo è comune in molte reti poiché una singola interfaccia può avere più indirizzi IP. Con IPv6 in uso, un dispositivo dovrebbe avere più indirizzi (almeno un globale e un collegamento locale). I dispositivi dual stack devono avere sia un indirizzo IPv4 che più indirizzi IPv6.
Inoltre, ci sono molte ragioni / dispositivi in cui più di un indirizzo IP sono assegnati a una singola interfaccia. Proprio come un esempio tra molti, i bilanciatori di carico sono in genere configurati per fornire servizi per un numero di indirizzi IP diversi su una singola interfaccia. Ci sono molti altri esempi, ma in tutti questi casi, nessuno spoofing ARP avviene in quanto i dispositivi utilizzano ciascun indirizzo IP.
Ancora una volta, un dispositivo che esegue alcuni tipi di attacchi ARP spesso falsifica i messaggi ARP per più indirizzi IP.
Quindi, perché non dire che lo spoofing ARP è quando l'ARP viene utilizzato in modo negativo, come alcuni tipi di attacchi ARP?
Lanciare questo per completezza, anche se non l'hai chiesto. Il contesto più comune in cui viene discusso lo spoofing ARP è associato a diversi tipi di attacchi alle reti.
Tuttavia, ciò non significa che lo spoofing ARP sia sempre negativo. Un esempio di uso legittimo dello spoofing ARP sarebbe "proxy ARP". Un modo in cui questo può essere utilizzato è nelle configurazioni in cui le comunicazioni dirette tra client e client sono proibite e devono passare attraverso alcuni dispositivi "centrali" dove cose come le regole di sicurezza possono essere applicate.