Problema al implementar un software de envenenamiento ARP

2

Estoy estudiando el envenenamiento ARP y he codificado un programa de computadora para envenenar la memoria caché ARP de otras computadoras usando sockets sin formato en lenguaje C.

Lo que hice fue: enviar una respuesta ARP al objetivo, siempre utilizando otra computadora diferente a la del objetivo, "diciéndole" que su puerta de enlace tiene mi dirección MAC.

No quiero actuar como un hombre en el medio. Solo quiero "desactivar el objetivo" de Internet.

He probado en tres LAN. Obtuve éxito en dos de ellos, es decir, cuando envío una respuesta ARP al objetivo, no puedo navegar por Internet con el navegador de destino (tengo acceso a él, por lo que puedo probarlo).

Pero, hay una red (una más compleja) que no pude envenenar la memoria caché ARP de destino. Tengo acceso a la computadora de destino, así que cuando le envío una respuesta ARP (utilizando otra computadora), reviso su caché ARP y la dirección MAC de su puerta de enlace sigue siendo la correcta, y más: puedo navegar por Internet con el navegador de destino. No sé por qué le pasa solo a esta red.

Al principio pensé que era una especie de ARP estática, o algo así. Así que usé ettercap (y wireshark) para ayudarme. Usé la opción de ettercap del hombre en el medio con envenenamiento ARP y lo conseguí. Podría envenenar el caché ARP del objetivo con ettercap. He "depurado" la respuesta de ARP (usando wireshark) que mi programa de computadora envió al objetivo y es la misma respuesta de ARP que ettercap envió al objetivo.

Ambas redes que obtuve éxito son una red inalámbrica. El que obtuve es una red cableada.

¿Puede alguien ayudarme con este problema? ¿Por qué sucede?

Una observación: no quiero comenzar a envenenar el caché ARP de las computadoras. Solo estoy estudiando algunos protocolos más profundamente, no solo la teoría. Por eso me pregunto por qué no puedo envenenar el caché ARP dentro de esta red y ettercap puede.

    
pregunta Marveringius 11.10.2016 - 14:40
fuente

1 respuesta

4

Dependiendo del dispositivo, pueden enviar una solicitud who-has ARP cada Xs . (o en caso de que piensen que han perdido la conexión con su enrutador)

Esto hará que su enrutador devuelva la dirección mac correcta y que el caché ARP de la víctima ya no se vea comprometido.

Para contrarrestar eso, puede rastrear su red (por ejemplo, utilizando scapy ) para verificar la solicitud de ARP entrante desde su dispositivo para enviar una nueva respuesta ARP is-at y mantener la memoria caché comprometida. También puede volver a comprometer la memoria caché cada segundo si no desea implementar un sniffer.

    
respondido por el Xavier59 11.10.2016 - 18:56
fuente

Lea otras preguntas en las etiquetas