¿Cómo Wirehark captura paquetes en LAN sin arpspoof?

Navega tus respuestas
3

Creé un entorno de laboratorio que tiene Windows 7 y Kali Linux en VMware.

En Kali Linux, abrí Wireshark y comencé a escuchar el tráfico en eth0. Después de eso, en mi máquina con Windows 7, abrí un sitio HTTP e ingresé información de inicio de sesión en ese sitio.

Wireshark pudo capturar esa información de inicio de sesión.

¿Cómo captura Wireshark esos paquetes? Windows 7 envió sus paquetes al enrutador, pero Wireshark pudo capturarlos.

No usé Arpspoof para el ataque MITM, así que no engañé a Windows 7 para que pensara que la máquina Kali era la puerta de enlace ni la puerta de enlace, ya que la máquina Kali es Windows 7. Entonces, creo que Wireshark no debería capturar esos paquetes, pero Los capturé de todos modos.

Cualquiera puede decirme por qué?

    
pregunta G.Baysec 18.11.2018 - 18:22
fuente

2 respuestas

0

La razón por la que Wireshark puede capturar todos los paquetes es debido al entorno NAT. EN NAT, las máquinas virtuales en VMware usarán el adaptador físico. Esa es la NIC de mi computadora. Así que VMware proporciona la tarjeta Ethernet a las máquinas virtuales. Tanto Windows 7 como kali usarán la misma tarjeta Ethernet porque VMware apunta mi tarjeta Ethernet a esta máquina virtual para el acceso a Internet. Entonces, cuando huelo el eth0 de Wireshark, debido a que Windows 7 usa la misma tarjeta Ethernet, todos los paquetes serán capturados por el Wireshark. Este laboratorio debe realizarse en un entorno de red con adaptador de puente. En ese entorno, VMware debería aislar las NIC para las máquinas virtuales. Por lo tanto, hay una necesidad de arpspoofing para capturar el tráfico de Kali.

    
respondido por el G.Baysec 21.11.2018 - 20:16
fuente
5

Esto no es realmente una pregunta de seguridad. La pregunta que desea hacerse es cómo un nodo en una red puede ver los paquetes que no están destinados a él. Para esta respuesta, debe comprender cómo funcionan las redes Ethernet.

Las redes Ethernet son redes de transmisión, lo que significa que todos los nodos del mismo segmento pueden ver el tráfico de todos los demás nodos. No se requieren trucos.

Un interruptor y un punto de acceso wifi actúan como un interruptor, rompe estas zonas de transmisión (en su mayoría) de modo que solo los nodos que necesitan hablar entre sí vean el tráfico. Por eso necesita arp-spoof: necesita engañar al nodo víctima para que le envíe el tráfico primero y luego lo transfiera al destino deseado.

Pero sin un interruptor, todos pueden ver el tráfico de todos. Por lo tanto, el Wireshark de su Kali podría ver de manera simple y sencilla el tráfico que está enviando el otro nodo. No se requieren trucos.

    
respondido por el schroeder 18.11.2018 - 18:40
fuente

Lea otras preguntas en las etiquetas

Docker: cuándo usar apparmor vs seccomp vs --cap-drop Deshabilitar el cortafuegos de Windows de forma remota