In che modo SSLStrip acquisisce il traffico?

0

Nella descrizione di Marlinspike su come impostare SSLStrip, dice di abilitare l'inoltro

echo "1" > /proc/sys/net/ipv4/ip_forward

quindi reindirizzare il traffico dalla porta 80 alla porta di ascolto SSLStrip

iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port <listenPort>

e quindi per avvelenare ARP per ottenere il traffico inviato a questo host

arpspoof -i <interface> -t <targetIP> <gatewayIP>

(Vedi link )

Non capisco. Capisco che usando arpspoof le altre macchine credano che il tuo host sia il gateway, ma iptables guarderà i pacchetti TCP / IP con la porta di destinazione 80 e li riscriverà per avere una nuova porta nell'intestazione TCP. Ma l'indirizzo IP non è cambiato, corretto? L'attaccante inoltrerà quindi l'indirizzo IP di destinazione con una nuova porta e SSLStrip non vedrà mai il pacchetto.

iptables di default modifica anche l'indirizzo IP?

    
posta Fixee 30.03.2016 - 20:18
fonte

1 risposta

1

L'obiettivo REDIRECT in iptables riscrive l'ip di destinazione sull'ip locale sull'interfaccia in entrata. La porta per impostazione predefinita rimane la stessa, puoi riscriverla usando --to-port.

Extra: per reindirizzare a un IP diverso, puoi utilizzare il target DNAT utilizzando -j DNAT --to <ip>:<port>

    
risposta data 30.03.2016 - 20:26
fonte

Leggi altre domande sui tag