Usando ettercap y ARP envenenamiento, pude escuchar a escondidas otras conexiones, pero de repente no pude hacer ninguna conexión a Internet. Para restaurar la conectividad a Internet, tuve que reiniciar mi enrutador. (He probado esto en 3 enrutadores diferentes: sagem, linksys y huawei.)
¿Estoy haciendo algo mal o hay un mecanismo de seguridad que mata todas las actividades de la red?
La falsificación de ARP por lo general funciona engañando a todos los clientes para que piensen que usted es el enrutador, simulando las respuestas de ARP que traducen las direcciones IP a las direcciones MAC. Cuando los clientes reciben la respuesta ARP, recuerdan el MAC que estaba asociado con la IP.
Una vez que detiene la aplicación que está manejando la parte de la operación que se encuentra en el centro de la operación, los clientes continúan enviando a su dirección MAC, en lugar del enrutador. Debido a que ya no está manejando tales paquetes, el tráfico se bloquea y toda la red se desactiva. Al reiniciar el enrutador, se envía una transmisión ARP (por ejemplo, "Hola, soy 192.168.1.1 at 12:34:56:78:90:AB ") junto con una transmisión DHCP, lo que permite que los clientes se vuelvan a sincronizar con el enrutador real.
Es posible que su software de envenenamiento ARP envíe una transmisión ARP cuando se cierre, con la dirección MAC real del enrutador, para evitar esto. Esto puede ser un error o puede que aún no se haya implementado.
Otra adición a los puntos de reenvío / enrutamiento que ha hecho la gente, si está ejecutando un sistema operativo basado en Linux, deberá activar el reenvío de IP, de lo contrario, el núcleo simplemente eliminará cualquier paquete destinado a una dirección IP que no sea adjunto a cualquier interfaz local.
Puedes activar ip_forwarding ejecutando (como root);
echo "1" > /proc/sys/net/ipv4/ip_forward
Y de la misma manera apágalo otra vez con;
echo "0" > /proc/sys/net/ipv4/ip_forward
Esto tendrá un efecto inmediato y no requiere un reinicio.
Si solo tiene una tarjeta de interfaz de red, puede estar ocultando todo. Necesitaría un nic (o un nic virtual) para conectarse a los clientes y actuar como el enrutador / conmutador falsificado y uno para reenviar el tráfico al conmutador. Sé que ettercap puede manejar esto para el tráfico de MiTM'd, pero no recuerdo si también proporciona acceso a internet a su máquina.
Cuando salga de ettercap, debería restablecer la conectividad a Internet enviando los paquetes de arp correctos a las víctimas de MiTM'd actuales, eliminando el medio y restableciendo su conectividad a Internet.
Asegúrese de que cuando haga MiTM, no esté haciendo MiTM del enrutador para usted también.
Este problema también solía pasarme a mí, y en mi caso, todo tenía que ver con el uso de iptables. Estaba usando iptables sin el parámetro de interfaz (-i), lo que causó que la redirección a través de mi máquina no funcionara, porque iptables no tiene forma de saber a qué interfaz necesita redireccionar el tráfico. Acabo de cambiar mi comando y no más DoS en la red:
iptables -t nat -A PREROUTING -i wlan0 -p tcp --destination-port 80 -j REDIRECT --to-port (the port port where your going to have sslstrip listening to)
Recuerde cambiar la interfaz según el tipo de dispositivo que esté utilizando ex. En mi caso estoy conectado a un wlan. Si está conectado con una conexión por cable, lo más probable es que su interfaz sea eth0.
Esto me funcionó en Ubuntu 14.4.
Normalmente uso arpspoof del paquete dsniff . Este envía transmisiones automáticamente después de que termine la suplantación de identidad, informando a las direcciones IP de destino de la dirección MAC real del enrutador.
Normalmente ettercap también tiene esta funcionalidad, por lo que podría tratarse de un problema con su sistema (versión del paquete, SO) o terminar incorrectamente su programa cli (2Xctrl + c, ctrl + d)
A mí también me ha pasado. Pondría mi apuesta en problemas de redirección o reenvío . Lo que se requiere es que en iptables debe configurar para enviarlo a destino. Bien, se acaba de convertir en agujero negro para ti.
"sudo iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 666" ### iptables will forward port 80 to our box, running sslstrip on port 666.
Ref sslstrip
Espero que los comandos anteriores te ayuden a configurar tus IPtables.
Lea otras preguntas en las etiquetas network man-in-the-middle attack-prevention