Llevé a cabo un ataque de envenenamiento de arp desde mi máquina virtual a una máquina real con Caín y capaz y recolecté datos con Wirehark de una máquina real. Mientras investigaba datos con wireshark, me encontré con un flujo de datos como imagen.
¿Qué significa? Sólo esperaba una tormenta ARP. ¿Puedo usar la información en esta imagen para detectar un ataque de ataque de ARP? ¿O puede y puede usar un truco diferente?
En resumen, ese análisis no muestra ninguna información de la capa 2. Le interesa la dirección MAC que la computadora asocia con una dirección IP determinada.
El envenenamiento ARP afecta la capa de red 2 o la capa de Ethernet. Mientras que la computadora aún envía el mensaje a la misma dirección IP (capa 3), el paquete termina en una dirección de capa 2 diferente que pretende poseer esa IP. Pretende poseer esa dirección IP al envenenar ARP en un intento de asociar esa IP con una dirección MAC diferente.
Una vez que la computadora, por ejemplo, ha tomado el IP del servidor DNS, puede servir registros DNS no válidos o cualquier otro servicio engañoso que desee ejecutar.
Lea otras preguntas en las etiquetas network sniffer wireshark arp-spoofing