Problema con ARP-Spoofing

3

En primer lugar, tengo una pregunta básica sobre el tráfico de red:

Todos los dispositivos en la red están conectados con WLAN y un enrutador. Si envío un mensaje desde mi computadora a otro dispositivo en la red por IP, mi computadora busca en la tabla arp la dirección MAC de esa IP. Si no lo encuentras envía un arp broadcast buscando esa ip. Si lo encuentra, forme un paquete con el mac de destino desde el dispositivo de destino (NO el mac desde el enrutador) y envíelo. El enrutador recibe este paquete y (ahora actúa como un interruptor de capa 2) busca en su tabla de dirección de mac (sat) para este mac de destino y lo envía allí.

¿Esto es correcto?

Ahora a mi problema con arpspoofing. Tres dispositivos están involucrados:

Attacker running Kali: x.x.x.105 (34:F3:xx:xx:xx:xx)
Target running Win10: x.x.x.107 (80:56:xx:xx:xx:xx)
Router: x.x.x.1 (44:6e:xx:xx:xx:xx)

El atacante tiene habilitado el reenvío de IP.

Ahora inicié dos instancias de arpspoof:

arpspoof -i wlan0 -t x.x.x.107 x.x.x.1

arpspoof -i wlan0 -t x.x.x.1 x.x.x.107

En los atacantes Wireshark puedo ver todas las respuestas de arp salientes. También dicen que se detectó el uso múltiple de IP! Arp Table borró después de que arpspoof comenzó. La falsificación se está ejecutando durante casi una hora.

Sin embargo, en mis objetivos, Wireshark no puedo ver los mensajes de arp entrantes del atacante.

La tabla arp en windows no cambia. Además, mi enrutador no parece actualizar su tabla arp.

No puedo encontrar el problema aquí. ¿Win10 está bloqueando las respuestas de arp no solicitadas?

Esto es sólo para fines educativos. Gracias

    
pregunta Saueee 28.02.2018 - 23:06
fuente

1 respuesta

2

Aquí hay algunas explicaciones mejores, a continuación se incluye una conjetura: Envenenamiento ARP entre una red cableada e inalámbrica

La parodia debería funcionar casi inmediatamente si está funcionando correctamente. Los nuevos dispositivos verán el arp gratuito del atacante y actualizarán automáticamente su caché. Una víctima no detectará una IP duplicada, solo debe actualizar la asignación. El problema es probable en el router.

Arpspoof funciona a través de un conmutador porque el conmutador no tiene forma de saber en qué puerto se encuentra la dirección IP / asignación de MAC legítimas, por lo que, sin ninguna forma de seguridad de puertos / indagación DHCP / inspección dinámica de arp, debe confiar en que un dispositivo es quien dice que es cuando dice "192.168.1.1 está en aa: bb: cc: dd: ee: aa" en su respuesta arp / arp gratuita.

No estoy seguro acerca de las redes inalámbricas, pero me parece que un enrutador, incluso si está operando en la capa 2, está cambiando el tráfico dentro de la red, probablemente analice los paquetes arp, como lo hace un conmutador, de modo que También podría actualizar su propia tabla arp. Puede estar eliminando estos ataques gratuitos del atacante debido a que es evidente que no son legítimos, ya que utilizan su dirección y anuncian un Mac diferente al suyo.

    
respondido por el flerb 01.03.2018 - 18:40
fuente

Lea otras preguntas en las etiquetas