Nello spoofing ARP ci sono due mappature MAC a un indirizzo IP O due mappature IP a un indirizzo MAC?

La risposta è corretta. Quando avviene l'avvelenamento ARP, la macchina dell'attaccante sta dicendo "Ciao, sono 10.20.30.40, il mio MAC è AABBCCDDEEFF". E la macchina della vittima sta dicendo "Ciao, sono 10.20.30.40, il mio MAC è 112233445566".

Due macchine con lo stesso MAC. Perché? È perché sul livello Ethernet, IP non significa nulla. Il MAC è l'indirizzo utilizzato per instradare il pacchetto. E quando qualcuno ha bisogno di inviare un pacchetto a 10.20.30.40, è l'indirizzo MAC che definisce chi riceverà il pacchetto, non l'IP. se il MAC è già in cache, il pacchetto viene inviato immediatamente.

Altrimenti, il mittente emetterà un ARP Request: who is 10.20.30.40? Tell 10.20.30.200 , il proprietario dell'IP risponderà e 10.20.30.200 inserirà la voce nella sua tabella di cache.

Si vedono quei "indirizzi IP duplicati rilevati" perché 2 (o più) indirizzi MAC stanno rispondendo allo stesso IP. Quando viene inviato un messaggio ARP Request: who is 10.20.30.40? Tell 10.20.30.200 , sia l'autore dell'attacco che la vittima dichiarano di essere il proprietario di quell'IP e di fornire i propri indirizzi MAC.

Hai ragione: in senso stretto, eseguire lo spoofing ARP è provocare confusione tra un indirizzo IP e due indirizzi MAC. Ma ci sono due termini correlati che sono stati confusi: ARP spoofing e ARP collisione .

Un ARP collisione è quando due o più computer rispondono a una richiesta ARP con risposte diverse: in altre parole, è un indirizzo IP con due MAC.

ARP spoofing ha più a che fare con la situazione e l'intento: si tratta di un tentativo di utilizzare ARP per ottenere pacchetti consegnati a una destinazione che l'amministratore di rete non intendeva. Il risultato sarà solitamente collisioni ARP. Ma poiché "spoofing" descrive una situazione, piuttosto che un evento, è probabile che anche sia un indirizzo MAC con due indirizzi IP:

• Lo spoofer potrebbe avere un indirizzo IP "legittimo" oltre all'indirizzo IP che sta tentando di contraffare. In questo caso, c'è un MAC con due indirizzi IP. Questo non è rilevante per la collisione stessa, ma è una probabile conseguenza di uno spoofing casuale. (In alternativa, lo spoofer potrebbe scegliere di non configurare un indirizzo IP con i metodi normali.)
• Lo spoofer potrebbe eseguire lo spoofing di più di un indirizzo IP. In questo caso, è un indirizzo MAC che risponde alle richieste di diversi indirizzi IP.
• Se lo spoofer è fortunato, il legittimo proprietario dell'indirizzo IP contraffatto sarà inattivo, nel qual caso non ci sarà alcuna collisione ARP. In questo caso, potrebbe esserci un indirizzo MAC e un indirizzo IP.

Infine, una nota a margine: più indirizzi IP possono essere mappati legittimamente sullo stesso indirizzo MAC. Di fatto, questa è una pratica standard in IPv6, in cui un server può avere sia un indirizzo IP generato automaticamente che uno assegnato dall'amministratore, entrambi che eseguono il mapping allo stesso indirizzo MAC. Anche in IPv4, questo può essere utile: in una piccola rete senza DNS, è possibile che un server esistente "A" prenda il posto di un altro server "B" chiudendo B e assegnando il suo indirizzo IP a A come indirizzo secondario. Potrebbe essere preferibile riconfigurare un numero elevato di client in modo che puntino all'indirizzo principale del server A.

In ARP spoofing, is it two MACs mapping to one IP address OR two IPs mapping to one MAC address?

Nessuno dei due. Sì, lascia che affondi per un secondo. Lo spoofing ARP può essere coinvolto in entrambe le situazioni che stai descrivendo, tuttavia le situazioni che stai descrivendo potrebbero non includere lo spoofing ARP.

Quindi cos'è lo spoofing ARP? Lo spoofing ARP è semplicemente il nome quando un dispositivo / interfaccia di rete "contraffa" o imita i messaggi ARP per un indirizzo IP che il dispositivo non sta effettivamente utilizzando.

two MACs mapping to one IP address

Questo potrebbe essere semplicemente un errore di configurazione. Entrambi i dispositivi potrebbero avere lo stesso indirizzo IP configurato e, in quanto tale, non avviene alcuno spoofing ARP. Questo sarebbe semplicemente un conflitto IP, che crea problemi ma non può essere chiamato spoofing ARP.

Tuttavia, molti attacchi ARP che utilizzano lo spoofing generano conflitti IP poiché lo spoofing spesso falsifica gli indirizzi IP di altri dispositivi reali.

two IPs mapping to one MAC address

Questo è comune in molte reti poiché una singola interfaccia può avere più indirizzi IP. Con IPv6 in uso, un dispositivo dovrebbe avere più indirizzi (almeno un globale e un collegamento locale). I dispositivi dual stack devono avere sia un indirizzo IPv4 che più indirizzi IPv6.

Inoltre, ci sono molte ragioni / dispositivi in cui più di un indirizzo IP sono assegnati a una singola interfaccia. Proprio come un esempio tra molti, i bilanciatori di carico sono in genere configurati per fornire servizi per un numero di indirizzi IP diversi su una singola interfaccia. Ci sono molti altri esempi, ma in tutti questi casi, nessuno spoofing ARP avviene in quanto i dispositivi utilizzano ciascun indirizzo IP.

Ancora una volta, un dispositivo che esegue alcuni tipi di attacchi ARP spesso falsifica i messaggi ARP per più indirizzi IP.

Quindi, perché non dire che lo spoofing ARP è quando l'ARP viene utilizzato in modo negativo, come alcuni tipi di attacchi ARP?

Lanciare questo per completezza, anche se non l'hai chiesto. Il contesto più comune in cui viene discusso lo spoofing ARP è associato a diversi tipi di attacchi alle reti.

Tuttavia, ciò non significa che lo spoofing ARP sia sempre negativo. Un esempio di uso legittimo dello spoofing ARP sarebbe "proxy ARP". Un modo in cui questo può essere utilizzato è nelle configurazioni in cui le comunicazioni dirette tra client e client sono proibite e devono passare attraverso alcuni dispositivi "centrali" dove cose come le regole di sicurezza possono essere applicate.