arp spoofing e https leggendo dubbi nello strumento bettercap

0

utilizzando il popolare strumento bettercap e osservando le risposte ho avuto due dubbi che riguardano anche alcune domande teoriche:

  1. Bettercap ti permette di arp contraffare interi intervalli di ip-s (ad esempio un'intera / 24 sottorete in cui ti trovi), ma per quanto ne so un attacco di spoofing arp consiste nel "dire" il router ( il gateway) che l'ip xxx.xxx.xxx.xxx corrisponde al tuo indirizzo fisico (MAC) e non a quello del target: è possibile farlo per le RANGE di ip-s? Una tabella ARP può contenere un intervallo di ip-s anziché uno singolo come voce?

  2. Bettercap ti permette anche di lanciare un proxy che puoi usare per "interagire" con il traffico quando lo stai spoofing; nel caso di https proxy (la striscia SSL DISABLED per impostazione predefinita) bettercap restituisce alcune informazioni sull'intestazione della richiesta https (ad esempio user-agent ecc... ), ma quello che so è che https non è superiore a http over SSL (TLS), quindi io non mi aspettavo che lo strumento leggesse le intestazioni https ... Cosa mi manca?

posta Alessio Martorana 23.09.2018 - 03:41
fonte

1 risposta

0

Can an ARP table contain a range of ip-s instead of a single one as an entry?

Non è necessario un intervallo. Ma una tabella ARP può avere più IP associati allo stesso MAC. In realtà non è raro che i server abbiano più indirizzi IP sulla stessa interfaccia fisica.

... but what I know is that https is no more than http over SSL (TLS), so I was not expecting the tool to read https headers... What am I missing?

Il proxy https sta facendo un uomo nell'attacco centrale contro TLS, cioè generando certificati al volo. Ovviamente, a meno che il client https non sia bacato o configurato specificamente per accettare questi certificati come attendibili, il client si lamenterà che la connessione non è sicura perché il certificato non è attendibile.

    
risposta data 23.09.2018 - 07:28
fonte

Leggi altre domande sui tag