Estoy usando el siguiente enlace para arp envenenar nuestra LAN inalámbrica. enlace
Pero la cosa es que está funcionando solo para algunos sitios. Incluso algunos sitios http no se modifican con esto.
¿Cuál es la razón detrás de esto?
¿Los sitios tienen algún mecanismo para prevenir la intoxicación por ARP?
La respuesta a su pregunta parece estar en el enlace al que hace referencia.
Los programas de computadora siguen instrucciones específicas y, en este caso, el filtro ettercap está configurado para:
replace("img src=", "img src=\"http://www.irongeek.com/images/jollypwn.png\" ");
replace("IMG SRC=", "img src=\"http://www.irongeek.com/images/jollypwn.png\" ");
La cadena de caracteres "IMG SRC=" no es lo mismo que "IMG src=" o "img title = '123' src=". Si el desarrollador del sitio web ha utilizado un conjunto de caracteres diferente a su filtro de alguna manera, entonces el filtro no funcionará.
Tenga en cuenta que este filtro no parece activarse para todas las imágenes, es un poco impredecible
Esto puede deberse a la diferencia lógica explicada anteriormente o como parte de un mecanismo de liberación de carga / congreso de paquetes que elimina algunos de estos paquetes sin filtrado.
¿Pueden los sitios mitigar ARP?
No. Estos sitios han adoptado una guía de estilo diferente para las etiquetas img o tal vez simplemente no tienen una. Como dice irongeek, la mitigación de ARP es más efectiva a través del caché estático, IDPS o Arpwatch en la red local.
Sugeriría leer una descripción más detallada de los protocolos ARP, IP y de entrega de tramas para comprender mejor la explotación y mitigación de este vector de ataque.
Lea otras preguntas en las etiquetas network arp-spoofing
