No es completamente necesario. Si el atacante está utilizando suplantación ARP 1 , puede estar sentado en cualquier lugar de la cadena de comunicación. 2 . Por ejemplo, si se está conectando al mismo nodo ISP que usted (físicamente cerca de usted), entonces puede detectar todos los datos de texto sin formato de todas las personas que se conectan al ISP en esa subred. No necesita saber su IP para esto, sin embargo, descubrirá quién envió la solicitud HTTP. Así que no necesita para averiguar su IP exacta o hacer tomas en la oscuridad al azar hasta que la encuentre; él puede muy fácilmente obtener todos los paquetes de su subred y tamizarlos.
Tenga en cuenta que un atacante puede optar por la falsificación ARP solo usted , si conoce su IP. Esto es mucho más conveniente ya que hay menos ruido no deseado en la línea, pero él también puede engañar a todos en la subred y proceder.
La forma en que funciona es que el protocolo TCP / IP (bueno, el protocolo ARP) es intrínsecamente inseguro. Cuando es necesario enviar datos a una determinada IP, se le pide a la computadora con esa IP que se identifique. Es fácil pretender ser esa computadora y aceptar los paquetes, y luego enviarlos al destinatario real.
Para esto, el atacante debe estar en la misma subred que un nodo que está transmitiendo los datos. Este nodo podría ser usted, un nodo ISP intermedio o el servidor web.
1. Esta no es la única forma de MITM, vea la respuesta de Adnan para más información. Los tres métodos pueden funcionar sin conocer la IP exacta.
2. Es muy poco probable que un atacante esté sentado entre dos nodos intermedios. Es muy muy fácil para un atacante estar sentado en la conexión ISP de usted (su) y no es muy improbable para la conexión ISP del host web (su). Cualquier otra cosa es muy improbable.