Todo lo que leo cuando se trata de detectar a un hombre en el ataque central es que la tabla de caché ARP tendrá entradas duplicadas para la dirección MAC del atacante, pero no puedo encontrar el motivo.
La forma en que lo creo (porque uno es el falso y la otra la respuesta normal de ARP) me lleva a pensar: suponiendo que soy el atacante, ¿no sería tan fácil como no enviar la respuesta real de ARP? ¿Pero solo la falsa?
Digamos que tenemos una red con Bob, Alice y el enrutador. Eres un atacante, llamado Eva.
Ahora, desea realizar un MITM entre Bob y el enrutador. Hay múltiples opciones ahora:
La tabla ARP de la víctima (de Bob) se verá diferente en cada uno de los escenarios anteriores:
Escenario 1
Escenario 2
Escenario 3
Escenario 4
Lo que podría estar describiendo es ARP Poisoning (o suplantación de identidad), donde el atacante "envenena" el ARP almacena en caché los hosts de la subred al enviar gran cantidad de paquetes ARP que contienen el atacante. La dirección de la capa 2 (MAC) y la capa 3 de la víctima (dirección IP), lo que hace que envíen sus datos a la MAC del atacante cuando se ensambla la trama de Ethernet en lugar de la MAC de la víctima.
Me imagino que si explorara las tablas ARP de las máquinas afectadas, encontraría dos entradas para la misma dirección MAC, una para la verdadera dirección IP del atacante y otra para la dirección IP de la víctima, ambas para la El mismo MAC (Los atacantes).
Lea otras preguntas en las etiquetas man-in-the-middle arp-spoofing