Ahora, para mí, como atacante, es posible usar (cualquier) IP (solo suponga que IP Pool es 192.168.1.x está permitido), que el enrutador de LAN no detectaría e iniciaría sesión en sus registros generales , (como DHCP) arrendamientos y demás?
Depende del router. Los enrutadores SOHO baratos, una vez programados para un grupo de direcciones DHCP dado, aceptarán alegremente paquetes de direcciones en el grupo incluso si no dieron esas direcciones .
En tal escenario, solo toma la dirección IP 192.168.1.201 y Bob es tu tío.
Esa misma estrategia llevaría a que una alerta sea inmediatamente registrada por un enrutador más inteligente como una anomalía obvia. A menudo, la alerta de IP estática se establece en "off" para acomodar a los usuarios que pueden asignar IP de forma rápida y sucia (p. Ej., Impresoras) y no quieren ser molestados en particionar y configurar correctamente la red.
Básicamente, todo se reduce al "presupuesto" de la red en dinero y atención. Una red descuidadamente configurada o subpresupuestada le permitirá conectarse sin esfuerzo sin registro, y en realidad es probable que no tenga registros en primer lugar, o tal vez haya pero nadie los recuerde (o fueron recibidos por alguien desde hace mucho tiempo que los ha clasificado como "spam" ": He visto que eso suceda).
En una red más cuidada, tal vez con un enrutador de nivel superior con funciones conocidas y utilizadas por el administrador de la red, es probable que no pueda conectarse porque su dirección MAC no es conocido. Es posible que pueda evitarlo si cambia su dirección MAC a la de un dispositivo que el sistema conoce pero que actualmente no está en uso (por ejemplo, una impresora) y que a menudo tienen el MAC impreso en la placa de la red en la parte posterior, o está en una página de "Estado de la impresora" de fácil acceso que se puede mostrar o imprimir). Aun así, sería prudente conectar la computadora en el mismo puerto donde estaba la impresora.
(Me parece recordar un artículo de un blog sobre la posibilidad de ejecutar nmap
en dispositivos recién conectados reconocidos mediante consultas ARP, tanto para la detección de huellas dactilares como para la auditoría de seguridad. No puedo encontrarlo justo ahora. Pero en teoría al menos , incluso si se conecta a una LAN con cable no cifrada con un MAC válido y desde ese puerto de MAC, aún es posible detectar que no es una impresora después de todo.