Comencé a aprender sobre los ataques MITM, y no puedo entender algunas cosas

La inhalación pasiva no es un ataque de MiTM. Dependiendo de la configuración de la red, sniffing puede ver todas las comunicaciones, pero no puede cambiar ninguna de ellas. Un MiTM es cuando un atacante controla uno de los nodos directamente en la ruta de conexión entre el cliente y el servidor. Como se muestra en este diagrama de Wikimedia , cree que está hablando con el servidor, ya sea directamente oa través de una serie de nodos de confianza, pero realmente estás hablando a través de un intermediario malvado.

Haymuchasmanerasdehacerqueunacomputadorauselarutaincorrectaatravésdelamáquinadelatacante.Spoofingvariasconfiguracionesdered(porejemplo:ARPspoofingo ataque gemelo malvado ) es una estrategia común. Otro podría ser infiltrarse en la máquina de un proveedor de red.

La forma en que el atacante logra el estado MiTM es altamente situacional. No es como si pudieras ir a MiTM.com para atacar cualquier computadora del mundo. Necesita un punto de apoyo que obtenga al aprovechar una vulnerabilidad u otra debilidad de seguridad (por ejemplo, el twin twin se basa en puntos de acceso inseguros).

En cuanto a por qué los cachés ARP están sujetos a envenenamiento, es una combinación de la necesidad de ser dinámico y eficaz en una red grande y un diseño de seguridad débil. Dicho esto, el envenenamiento por ARP no es trivial de ejecutar. Los sistemas operativos vienen con defensas , pero a veces se pueden omitir.

  

Si el atacante ya está en mi LAN, ¿por qué necesita intentar manipular una falsificación o una falsa dhcp, puede simplemente detectar todo el tráfico en la red o es cierto solo si hay un concentrador involucrado? Si no es así, ¿es solo para tratar con el cifrado?

El atacante podrá detectar el tráfico de WiFi utilizando el modo de monitor, no requiere envenenamiento ARP o concentradores. Dependiendo de la arquitectura de la red, interceptar el tráfico en el cable puede ser más difícil. Si se usa un concentrador, el atacante puede poner su adaptador de red en modo promiscuo y rastrear el tráfico (Wireshark tiene una característica para hacer esto). Si se usa un interruptor, el tráfico puede ser detectado con otras técnicas como suplantación ARP o MAC flooding , lo que hace que un interruptor se comporte como un hub.

  

¿Por qué el arp chart puede cambiar tan rápidamente sin ninguna confirmación de que hay algún tipo de protección que podamos hacer?

Existen técnicas para mitigar la falsificación de ARP como:

• entradas ARP estáticas que hacen que las entradas en la memoria caché ARP sean de solo lectura
• software de detección y prevención como XArp
• cambiando cómo los sistemas operativos reaccionan al tráfico ARP
• filtrado e inspección de paquetes

  

No estoy esperando una explicación técnica completa de esto, pero ¿cómo llega el atacante a la red y forma parte de la subred? ¿Eso significa que necesita piratear el enrutador y hacerse parte de la LAN? ¿Y significa que es parte de 2 lans? ¿Uno de los suyos y uno de las víctimas?

Algunas ideas para entrar en la misma red que tú:

• el atacante podría simplemente conectarse a WiFi pública
• crea un el mal doble de su punto de acceso para intentar obtener la frase de contraseña de WiFi
• si WPS está habilitado, fuerza bruta el PIN de WPS
• agrieta un saludo de cuatro vías capturado

  

Si el atacante ya está en mi LAN, ¿por qué necesita trp para arp?   spoof o dhcp spoof, ¿puede oler todo el tráfico en la red,   ¿O es verdad solo si hay un centro involucrado? si no lo es es solo   ¿Para lidiar con el cifrado?

El atacante solo puede ver el tráfico que va al nodo de la red que ha comprometido, porque un conmutador limita el tráfico solo a ese nodo. Si quiere rastrear los datos entre otros sistemas, tendrá que atacar el conmutador o comprometer otro sistema en la red que se encuentra en el segmento de LAN donde están los sistemas de destino.

  

No estoy esperando una explicación técnica completa de esto, pero ¿cómo funciona?   El atacante incluso entra en la red y llega a ser parte de la red.   subred? es eso significa que él tiene que hackear el enrutador y   hacerse parte de la lan? y significa que es parte de 2   lans ¿Uno de los suyos y uno de las víctimas?

Por lo general, el atacante ingresa a la red de víctimas al explotar una vulnerabilidad en una máquina (engañar a una persona de recursos humanos para abrir un documento malintencionado llamado "my-resume.pdf" es bastante común) y luego usa esa computadora comprometida como un punto de apoyo para Más exploración y ataques. Desde allí, el atacante "gira" a otros sistemas en la red hasta que llega a su destino.

Un atacante podría detectar el tráfico en una red cableada solo si la red está conectada a un concentrador. Sin embargo, la mayoría de las redes usan conmutadores, por lo que debe engañar a la infraestructura de la red para que pase el tráfico a través de usted. Por lo tanto ARP spoofing.