¿Cómo se puede usar el robo de puertos como un ataque MiTM?

3

Leí e intenté muchos ataques MiTM pero no entiendo cómo se puede usar Port Stealing como ataque MiTM.

Según tengo entendido, se puede "robar" un puerto enviando tramas Ethernet que simulan la dirección MAC de la fuente de la víctima con el objetivo de confundir al Switch a un punto donde la tabla CAM asocia el puerto de los atacantes con la dirección MAC de la víctima que porque lo real está detrás de otro puerto.

Esto hará que el atacante reciba todos los Paquetes que están destinados a la víctima. Pero en este punto, el atacante no puede reenviar los paquetes a la víctima porque el interruptor todavía cree que la víctima está detrás del puerto de los atacantes.

Entonces, si tengo razón hasta este punto, ¿cómo se puede usar el robo de puertos como un ataque MiTM?

    
pregunta davidb 01.10.2015 - 10:54
fuente

1 respuesta

2

El comportamiento que usted describe es verdadero. Sin embargo, el truco es que el software del atacante no conservará el puerto robado por sí mismo, se procederá en el siguiente bucle:

  1. Roba el puerto,
  2. Recibe algunos datos,
  3. Devuelve el puerto,
  4. Reenviar los datos al destino real,
  5. Vuelve al paso 1 robando el puerto nuevamente.

Puede encontrar más información en documentación de Ettercap , que incluye el extracto a continuación:

  

Robo de puertos

     

Esta técnica es útil para detectar en un entorno conmutado cuando ARP   el envenenamiento no es efectivo (por ejemplo, cuando los ARP mapeados estáticos son   utilizado).

     

Inunda la LAN con paquetes ARP. La dirección MAC de destino de   cada paquete de "robo" es el mismo que el del atacante (otras NIC)   no verá estos paquetes), la dirección MAC de origen será una de las   MACs de las víctimas.

     

Este proceso "roba" el puerto del interruptor de cada víctima.

     

Al utilizar retrasos bajos, los paquetes destinados a direcciones MAC "robadas" serán   Recibido por el atacante, ganando la condición de carrera con el real.   propietario del puerto.

     

Cuando el atacante recibe paquetes para hosts "robados", detiene el   proceso de inundación y realiza una solicitud ARP para el destino real   del paquete.

     

Cuando recibe la respuesta ARP, está seguro de que la víctima ha "tomado"   atrás "su puerto, por lo que ettercap puede reenviar el paquete al destino   como es.

     

Ahora podemos reiniciar el proceso de inundación a la espera de nuevos paquetes.

    
respondido por el WhiteWinterWolf 01.10.2015 - 12:46
fuente

Lea otras preguntas en las etiquetas