¿Puede un atacante rastrear el tráfico físico de la red a través de WiFi?

TLDR: básicamente con lo que está pidiendo, solo transmisiones ARP, a menos que subred su red inalámbrica de su red cableada.

En general depende. Primero, su computadora en la red Ethernet puede ocasionalmente enviar transmisiones a toda la red. Por ejemplo, si necesita la dirección MAC de una máquina en la red local, enviará una transmisión ARP a todas las máquinas en la red local, incluida la del atacante. Sin embargo, esto no le dice mucho al atacante, aparte de que hay otra computadora en la red, y posiblemente podría deducir que está conectada a Ethernet, ya que no puede ver ningún otro tráfico de Wi-Fi.

Sin embargo, en este punto puede hacer lo que se denomina envenenamiento de caché ARP. Su computadora podría responder a la transmisión enviada por su computadora en busca de la máquina en la red local, afirmando ser la máquina que está buscando. Entonces su computadora continuará enviándole datos directamente, porque cree que está hablando con el host correcto.

Por supuesto, se descubrirá al atacante rápidamente si su computadora no está configurada para responder correctamente al tráfico que está enviando. Ayuda al atacante a anticipar qué tipo de conexión intentará establecer su computadora. Y si, por ejemplo, su computadora está tratando de abrir una conexión RDP a la computadora del atacante, eso no es muy útil para el atacante de todos modos. El peligro real del envenenamiento de la caché ARP es si el host con el que su computadora estaba tratando de iniciar una conexión era su puerta de enlace predeterminada a Internet. El atacante podría simplemente reenviar todo su tráfico a la puerta de enlace predeterminada real mientras actúa como intermediario, olfateando todo su tráfico.

Afortunadamente, si el escenario al que te refieres es una red Wi-Fi doméstica, la puerta de enlace predeterminada que buscaba tu computadora era el propio enrutador Wi-Fi, y aunque no soy un experto en enrutadores Wi-Fi, lo haría. asuma que el enrutador de Wi-Fi sería lo suficientemente inteligente como para no reenviar una transmisión ARP solicitando su propia dirección MAC. Además, el atacante tendría que vencer al enrutador al responder a la transmisión, lo que parece poco probable, pero supongo que podría ser posible si tuvieras el peor enrutador Wi-Fi que se haya hecho.

De todos modos, una vez que su computadora tenga la dirección MAC correcta para su puerta de enlace de Internet predeterminada o cualquier dirección MAC que esté buscando, todas las comunicaciones se enviarán directamente a esa dirección MAC. Si estuvieras conectado a otra computadora conectada a Wi-fi, el atacante aún podrá ver ese tráfico.

Esta explicación también supone que su enrutador de Wi-Fi está protegido del atacante que lo controla directamente. Si, por ejemplo, dejó la contraseña de administrador del enrutador por defecto o algo así, entonces podría cambiar la configuración para que el enrutador reenvíe todo su tráfico, o sobrescribir el firmware del enrutador con uno que suministre para que el enrutador le reenvíe todo su tráfico.

Finalmente, si está realmente preocupado por estas transmisiones de ARP que vienen de su computadora, por poco frecuentes e inútiles que sean, a menos que sean para la puerta de enlace predeterminada que no deberían ser, entonces en un enrutador más agradable es posible que pueda a la subred de la red local para que la red Wi-Fi sea una subred y la de Ethernet otra. Entonces el enrutador ni siquiera debería reenviar las solicitudes ARP a través de Wi-fi.

Sí.//strong>

Independientemente de si la víctima está conectada o no al enrutador a través de un cable Ethernet o WiFi, todavía está conectado al mismo enrutador, que comparte lo que obviamente se conoce como la misma LAN.

Estar en la misma red hace que sea muy fácil para el atacante utilizar herramientas como BackTrack, una distribución de Linux, usar funciones de línea de comandos, suites e incluso kits de herramientas de código abierto fáciles de usar para detectar y Analizar datos de red de todo tipo. Las funciones específicas para PCAP (captura de paquetes) incluyen netsniff-ng .

Vale la pena mencionar , ya que estamos en el tema de la seguridad de LAN, que si el enrutador estaba protegido por algo como una clave WEP o un cifrado similar, que funciones similares como airsniff-ng en sistemas basados en Unix se puede usar junto con aircrack-ng para un fácil acceso a cualquier red, solo para ser seguido brevemente por un rastreo local de paquetes para cualquiera y todos los puertos deseados.

En general, también hay muchos programas de terceros disponibles para comprar y descargar para monitorear la actividad de la red, si prefiere estas vías.

La mayoría de los intentos de olfatear (a veces denominados pasivos) se producen cuando leo señales que no estaban destinadas a mí. Puedo leerlos porque no disparas tus señales a un enrutador como un rayo, simplemente las emanas en todas direcciones y esperas que el enrutador se recupere. Lo importante de la detección pasiva es que es indetectable: no puede ver ni controlar quién lee qué señales inalámbricas. Cuando usas un cable, es como usar un rayo: tengo que estar en su camino (tocar el cable) para oler el tráfico de forma pasiva. Por lo tanto, no se puede oler pasivamente el tráfico de Ethernet. Eso no significa que no puedas capturarlo de otras maneras, pero es probable que un atacante no lo intente si tuviera otros objetivos disponibles.