Utilizo Cain para que ARP falsifique mi host y el enrutador. Luego uso arp -an para mostrar las entradas de ARP en mi host. Por un segundo o dos, puedo ver que la dirección MAC del enrutador se cambia a la dirección del atacante, pero se recupera inmediatamente a la dirección MAC válida del enrutador. Tanto Linux como Windows 7 están instalados en mi host, ambos tienen el mismo fenómeno. Utilizo wireshark para rastrear los paquetes, no se envían paquetes desde el enrutador. ¿Cómo explicar esto?
Cada vez que un host desea comunicarse con otro host en un segmento de red de área local, debe determinar de alguna manera su dirección física (esto es lo que es una dirección MAC, después de todo).
El proceso de resolución de la dirección física ocurre con el protocolo ARP . Este proceso consiste en un intercambio de marcos Ethernet para asignar direcciones lógicas a direcciones físicas (más comúnmente, direcciones IP a direcciones MAC).
Ahora, si este proceso ocurriera cada vez que 2 hosts quisieran intercambiar datos en el segmento de la red, esto tendría un impacto negativo en el rendimiento de la red, especialmente en los casos en que hay una gran cantidad de hosts que se comunican constantemente entre sí.
Para resolver este problema, los sistemas en red almacenan en caché las entradas de direcciones físicas localmente durante un cierto período de tiempo. De esta manera, cada vez que un sistema desea interactuar con otro sistema en la red local, busca la asignación de direcciones físicas a lógicas en una tabla almacenada en su memoria. Esto es mucho, mucho más rápido que el proceso de resolución de direcciones mencionado anteriormente.
Sin embargo, las entradas en el caché ARP no son permanentes. Tienen una vida útil determinada y, una vez que caducan, se actualizan nuevamente a través de una nueva búsqueda de ARP. Este método minimiza el número global de búsquedas de ARP requeridas para la comunicación y al mismo tiempo mantiene las asignaciones de direcciones lógicas a físicas actualizadas.
Para "preservar" una situación ARP Man-In-The-Middle, debe falsificar constantemente las direcciones MAC para mantenerlas en las cachés ARP de los sistemas seleccionados durante la duración del ataque.
Los tiempos de vida de las entradas de caché ARP dependen de la implementación y varían de un sistema operativo a otro.
Usted mencionó que no vio ningún "paquete" en Wireshark, por lo tanto, asumo que estaba capturando el tráfico de IP. Las búsquedas de ARP se realizan en un nivel inferior (Capa 2) y utilizan tramas Ethernet y no paquetes IP para el intercambio de datos.
Seguiré adelante y prefacio esto con la declaración obligatoria "No soy un experto en redes", pero si recuerdo correctamente, este comportamiento tiene que ver con la resolución de conflictos de direcciones IP. Esencialmente, el enrutador está transmitiendo un anuncio ARP en un intento de determinar si hay otros hosts en la red con su dirección IP. Cuando los hosts conectados reciben el anuncio ARP, su caché ARP se actualiza con el MAC y la IP actual del enrutador.
Lea otras preguntas en las etiquetas arp-spoofing