en un escenario donde tengo una puerta de enlace a Internet y un conmutador (capa 2) conectado a esta puerta de enlace. Tengo dos computadoras en el mismo dominio de transmisión conectadas al switch. Todo el tráfico a internet tiene que pasar por la pasarela.
desde una de las computadoras I ARP envenena a la otra mediante el envío de respuestas falsas ARP indica que esta computadora es la puerta de enlace. Así que ahora una de las computadoras piensa que la otra es la puerta de enlace. luego ARP envenené la puerta de enlace para esta misma computadora víctima y ahora una de las computadoras está actuando como MITM, esto está funcionando y puedo ver que los cachés ARP han cambiado la dirección MAC. todo el tráfico de Internet puede ser detectado (ignorar SSL para este experimento). solo el tráfico emitido a través de la puerta de enlace puede ser detectado ya que una computadora está en el medio.
digamos que se agrega un servidor web al conmutador y que el tráfico de ambas computadoras en el mismo conmutador no tiene que pasar por la puerta de acceso para acceder al servidor web porque el conmutador tiene una tabla CAM y el tráfico de la computadora va a cambiar y el caché de CAM del conmutador dice que la dirección MAC está en el puerto x, por lo que, básicamente, el tráfico no pasa por el gateway. en este escenario, ¿cómo actúa uno como MITM?
¿Arp veneno o algo similar al cambio es un interruptor de capa 2? ¿Cómo arp envenena un interruptor para un ataque MITM?
Siento que me estoy perdiendo algo simple
mi experimento me permitió detectar todo el tráfico que iba a Internet, pero no pude detectar el tráfico que se dirigía al servidor web que se encuentra en el conmutador. ¿quizás "simplemente" arp enveneno el caché arp del servidor web y otra vez arp caché la computadora víctima?
sí, el reenvío de puertos está habilitado en caso de que se solicite.