Básicamente, estoy tratando de detectar el tráfico de red de mi otra computadora. Así que aquí está la situación:
Estoy en una red, donde:
192.168.1.1 - default gateway
192.168.1.24 - "victim" (my other computer)
192.168.1.20 - "attacker"
Estoy usando bettercap , pero en realidad probé ettercap antes. Pasos para reproducir:
echo 1 > /proc/sys/net/ipv4/ip_forward
bettercap -i wlan0
> arp.spoof targets 192.168.1.24
> arp.spoof on
Luego puedo verificar que funcione haciendo ping al 192.168.1.20 , la IP del atacante, y responde rápidamente, por lo que en realidad hago ping en la puerta de enlace predeterminada. Supongo que así es como funciona, ¿no?
Entonces corro un poco de inhalación. Probé múltiples herramientas:
urlsnarf - doesn't show anything. It can actually show the localhost traffic (done from the attacker pc)
dsniff - same as above
tshark/wireshark - They are showing some udp/tcp packets, but still no http ones (f.e entering a website, POSTing in a fake user/pass form)
bettercaps net.sniff - actually pretty much the same as tshark/wireshark
No comenté esas líneas de 2 iptables de ettercap.conf , cuando estaba usando ettercap (por cierto, estaba haciendo: ettercap -Tqi wlan0 -M arp (or arp:remote) // //
Entonces, mi pregunta aquí es: ¿hay algún problema con mi suplantación de identidad, o necesito oler de alguna manera diferente?
P.S Probé esas cosas tanto en Kali como en Blackarch .
PS 2 En realidad probé bettercaps dns.spoof y también funciona solo en la computadora del "atacante", cuando hago ping o voy a algún sitio web en mi máquina "víctima", todo funciona bien, así que no está bien, porque debería redirigir