¿Por qué hay entradas duplicadas en la tabla ARP en un ataque MitM?

2

Todo lo que leo cuando se trata de detectar a un hombre en el ataque central es que la tabla de caché ARP tendrá entradas duplicadas para la dirección MAC del atacante, pero no puedo encontrar el motivo.

La forma en que lo creo (porque uno es el falso y la otra la respuesta normal de ARP) me lleva a pensar: suponiendo que soy el atacante, ¿no sería tan fácil como no enviar la respuesta real de ARP? ¿Pero solo la falsa?

    
pregunta Franzech Domâs 14.06.2016 - 18:15
fuente

2 respuestas

1

Digamos que tenemos una red con Bob, Alice y el enrutador. Eres un atacante, llamado Eva.

Ahora, desea realizar un MITM entre Bob y el enrutador. Hay múltiples opciones ahora:

  1. Capture el tráfico que fluye de Bob al enrutador (por ejemplo, el flujo de tráfico a Facebook)
  2. Capture el tráfico que fluye desde el enrutador a Bob (por ejemplo, el tráfico que fluye de Facebook a Bob)
  3. Capture el tráfico que fluye en ambas direcciones (de Bob a enrutador y de enrutador a Bob) = > ataque más común.
  4. ARP envenena con bombas a todos los hosts en la red

La tabla ARP de la víctima (de Bob) se verá diferente en cada uno de los escenarios anteriores:

Escenario 1

  • MAC de Eve: IP del enrutador
  • (opcional) MAC de Eve: IP de Eve

Escenario 2

  • (opcional) MAC de Eve: IP de Eve
  • [En el enrutador, el MAC de Eve ahora estará vinculado a la IP de Bob]

Escenario 3

  • MAC de Eve: IP del enrutador
  • (opcional) MAC de Eve: IP de Eve
  • [En el enrutador, el MAC de Eve ahora estará vinculado a la IP de Bob]

Escenario 4

  • MAC de Eve: IP del enrutador
  • MAC de Eve: IP de Alice
  • (opcional) MAC de Eve: IP de Eve
  • [En el enrutador, el MAC de Eve ahora estará vinculado a la IP de Bob]
respondido por el Michael 15.06.2016 - 15:09
fuente
0

Lo que podría estar describiendo es ARP Poisoning (o suplantación de identidad), donde el atacante "envenena" el ARP almacena en caché los hosts de la subred al enviar gran cantidad de paquetes ARP que contienen el atacante. La dirección de la capa 2 (MAC) y la capa 3 de la víctima (dirección IP), lo que hace que envíen sus datos a la MAC del atacante cuando se ensambla la trama de Ethernet en lugar de la MAC de la víctima.

Me imagino que si explorara las tablas ARP de las máquinas afectadas, encontraría dos entradas para la misma dirección MAC, una para la verdadera dirección IP del atacante y otra para la dirección IP de la víctima, ambas para la El mismo MAC (Los atacantes).

    
respondido por el Desthro 15.06.2016 - 00:49
fuente

Lea otras preguntas en las etiquetas