Quiero capturar todo el tráfico de Internet en una red pequeña, por lo que estoy experimentando con la falsificación ARP de la puerta de enlace predeterminada, pero no veo las entradas falsas de la caché ARP.
Estoy usando dos máquinas Linux en la red, una - la máquina attack - ejecuta ettercap y la otra desempeña el papel de víctima . El tercer participante es la puerta de enlace predeterminada, que es un enrutador ADSL típico. Hay otros dispositivos en la red. Todos los dispositivos están conectados a través de Ethernet (cableado).
Ejecuto ettercap (versión 0.8.2) de esta manera:
ettercap -T -j ettercap.hosts -M arp:remote -w ettercap.pcap /10.0.0.10/ //
donde ettercap.hosts contiene los hosts en la red (siendo una clase A, un análisis no es práctico) y la dirección IP es la de la puerta de enlace predeterminada.
La ejecución de arp en la víctima muestra que tiene el MAC correcto para la puerta de enlace predeterminada, pero espero que muestre el MAC para la máquina que ejecuta ettercap . Veo algo similar en el enrutador: tiene el MAC correcto para la máquina víctima. Esperé que las cachés de arp se modifiquen para que apunten a la máquina de ataque.
La ejecución de wireshark en la máquina víctima muestra que los paquetes ARP se envían a través de ettercap pero no tienen ningún efecto. Por ejemplo:
136 13:50:12.666418095 Sony_8d:3f:5e AsustekC_b9:59:24 ARP 60 10.0.0.10 is at 00:01:4a:8d:3f:5e
Supongo que entiendo mal o me estoy perdiendo algo, pero no tengo claro qué.
¿Cuál es la forma correcta de usar ettercap para reparar la puerta de enlace predeterminada para registrar todo el tráfico?