A huele B mientras que B está olfateando C .
- ¿Cuál es el tráfico en A ? ¿ A captura el tráfico de B y C o solo el de B ?
Depende de cómo esté configurada la red y de cómo están olfateando.
Con la detección pasiva en una red de transmisión, todo el mundo lo ve todo. En particular, si B está haciendo un sniff bastante estándar (por ejemplo, la configuración predeterminada en tcpdump), A no solo ve todo el tráfico de B y C, sino que puede detectar que B está olfateando las solicitudes de DNS "filtradas".
Si se cambia la red, la detección es un poco más difícil. Suponiendo que el interruptor es vulnerable al envenenamiento de caché arp (falsificación de arp), y que A y B no tienen privilegios, entonces podría ser difícil para A envenenar confiablemente el caché para B mientras que B hace lo mismo con C. Es probable que ninguno de A, B o C podrán enviar o recibir de forma confiable.
Por otro lado, si A es un administrador que está olfateando a través de un espejo del puerto de B, entonces A verá todo el tráfico que B está recibiendo, lo que significa que A también verá el tráfico de C. Y será obvio para A que B está realizando un ataque.
También puedes combinar estos escenarios. Suponga que A y B están en un dominio de difusión compartido y C está en un puerto de conmutador diferente. Si B envenena la memoria caché para recibir el tráfico de C, entonces A puede ver todo ese tráfico. Y nuevamente, el ataque probablemente sea obvio para A. (Este escenario específico es probablemente poco probable, pero he visto algunas configuraciones extrañas).
También puede ser posible que B sea el administrador y pierda inadvertidamente un puerto monitoreado de manera que A pueda olfatearlo.
Depende de cómo estén olfateando. Si es solo una red de transmisión, como WiFi o un hub, entonces todos ven el tráfico de cada uno. Si esto fue una especie de extraño arp spoof de tres vías, entonces sí, A podría ver tanto el tráfico de B como el de C. Aunque la tabla ARP sería muy corrupta y B probablemente vería que algo estaba mal. Sin embargo, A podría compensar esta extraña inhalación de tres vías e intentar reparar la tabla ARP ya que B intenta dañarla para sus propios fines.
Aún estarías en la misma red.
A solo obtendría B a menos que estuvieras envenenando toda la subred.
Si estuvieras usando metasploit quizás, podrías usar B como un pivote para cualquier cosa que hagas a C ...
Le sugeriría que aprendiera los fundamentos de las redes antes de saltar a sniffers y subredes porque, si se realiza ilegalmente, no sería difícil atraparlo.