Al leer sobre la herramienta hPing, es posible falsificar una dirección interna, en el lado de la detección de esto, ¿cómo se podría hacer para detectar esto? ¿hay señales de tell-tail?
EDITAR: pensando en ello, podría usar la dirección MAC de la IP interna, pero ¿hay otras formas?
Hay un par de cosas en que pensar con tu pregunta.
Primero, mencionas "parodia de una dirección interna". Suponiendo que quiere decir falsificar un espacio de direcciones privadas 10.a.b.c o 192.168.a.b reservado, ¿cómo planea introducir el paquete en la red de la víctima? Esas son direcciones "no enrutables", lo que significa que ningún enrutador de Internet sabe dónde enviar una dirección 10. . Esto incluye el enrutador de su casa, que no enviará paquetes de 10. a Internet en primer lugar. Para que este ataque funcione, ya debe estar dentro de la red de la víctima.
Ahora supongamos que está atacando con éxito desde dentro de la red interna. Sí, puedes falsificar una IP de origen, pero ¿cómo vas a ver la respuesta? La respuesta se enviará a la IP real, no a su máquina. Para resolver esto, tendrás que asumir la dirección real. Esto se puede hacer usando una técnica como envenenamiento de caché ARP . Y los ataques ARP son detectables con ciertos tipos de herramientas de monitoreo de red, por lo que no se garantiza que sea un ataque completamente invisible.
Otra opción sería si su máquina está en la misma subred que la máquina víctima y usted tiene acceso completo al conmutador de red. La mayoría de los switches administrados permiten la creación de un "puerto espejo" para capturar paquetes para herramientas de monitoreo de red. Teóricamente, podría usar los datos del puerto espejo para ver las respuestas y montar su ataque; pero tenga en cuenta que esto seguirá enviando esos paquetes de respuesta a la computadora de la víctima.
Lea otras preguntas en las etiquetas packet