¿Ataque del hombre en el medio?

2

en un escenario donde tengo una puerta de enlace a Internet y un conmutador (capa 2) conectado a esta puerta de enlace. Tengo dos computadoras en el mismo dominio de transmisión conectadas al switch. Todo el tráfico a internet tiene que pasar por la pasarela.

desde una de las computadoras I ARP envenena a la otra mediante el envío de respuestas falsas ARP indica que esta computadora es la puerta de enlace. Así que ahora una de las computadoras piensa que la otra es la puerta de enlace. luego ARP envenené la puerta de enlace para esta misma computadora víctima y ahora una de las computadoras está actuando como MITM, esto está funcionando y puedo ver que los cachés ARP han cambiado la dirección MAC. todo el tráfico de Internet puede ser detectado (ignorar SSL para este experimento). solo el tráfico emitido a través de la puerta de enlace puede ser detectado ya que una computadora está en el medio.

digamos que se agrega un servidor web al conmutador y que el tráfico de ambas computadoras en el mismo conmutador no tiene que pasar por la puerta de acceso para acceder al servidor web porque el conmutador tiene una tabla CAM y el tráfico de la computadora va a cambiar y el caché de CAM del conmutador dice que la dirección MAC está en el puerto x, por lo que, básicamente, el tráfico no pasa por el gateway. en este escenario, ¿cómo actúa uno como MITM?

¿Arp veneno o algo similar al cambio es un interruptor de capa 2? ¿Cómo arp envenena un interruptor para un ataque MITM?

Siento que me estoy perdiendo algo simple

mi experimento me permitió detectar todo el tráfico que iba a Internet, pero no pude detectar el tráfico que se dirigía al servidor web que se encuentra en el conmutador. ¿quizás "simplemente" arp enveneno el caché arp del servidor web y otra vez arp caché la computadora víctima?

sí, el reenvío de puertos está habilitado en caso de que se solicite.

    
pregunta Darragh 27.07.2016 - 07:17
fuente

1 respuesta

2

La idea básica es simple, como ha mencionado, MITM funciona en el escenario de suplantación de ARP de la siguiente manera:

Para realizar MITM entre A y B:

  1. Truco A para pensar que eres B
  2. Truco B para pensar que eres A
  3. Habilitar el reenvío de paquetes

Eso es todo! por lo tanto, independientemente de su entorno, ya sea un conmutador o concentrador o incluso un servidor proxy, el principio es el mismo.

Entonces, la respuesta a tu pregunta es: Sí. Debe realizar el ataque entre la víctima y el servidor que se ejecuta en la misma red. Y para cada servidor que pongas en esta red, tendrás que hacer lo mismo.

PS: no es una buena idea, pero puedes usar el llamado ataque de suplantación ARP 'Hail Mary', básicamente ejecutas la falsificación de ARP en todos los dispositivos locales y dices que es uno o más dispositivos. De esa manera, todos los dispositivos serán engañados para creer que el atacante es el servidor, la puerta de enlace y todas las demás máquinas importantes.

    
respondido por el Emadeddin 27.07.2016 - 09:02
fuente

Lea otras preguntas en las etiquetas