Nella descrizione di Marlinspike su come impostare SSLStrip, dice di abilitare l'inoltro
echo "1" > /proc/sys/net/ipv4/ip_forward
quindi reindirizzare il traffico dalla porta 80 alla porta di ascolto SSLStrip
iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port <listenPort>
e quindi per avvelenare ARP per ottenere il traffico inviato a questo host
arpspoof -i <interface> -t <targetIP> <gatewayIP>
(Vedi link )
Non capisco. Capisco che usando arpspoof le altre macchine credano che il tuo host sia il gateway, ma iptables guarderà i pacchetti TCP / IP con la porta di destinazione 80 e li riscriverà per avere una nuova porta nell'intestazione TCP. Ma l'indirizzo IP non è cambiato, corretto? L'attaccante inoltrerà quindi l'indirizzo IP di destinazione con una nuova porta e SSLStrip non vedrà mai il pacchetto.
iptables di default modifica anche l'indirizzo IP?