Spoof otra dirección IP en la misma red, ¿la fuente de spoofing recibirá la respuesta?

3

He leído algunos artículos sobre la suplantación de IP. En pocas palabras, la suplantación de IP significa que el atacante utiliza una dirección IP falsa en el encabezado de IP, para simular que este paquete de IP es enviado por otra máquina.

El atacante puede usarlo para hacer algo como un ataque de denegación de servicio (con otra tecnología avanzada) ... y ocultar la dirección IP de origen real.

En esos artículos, también mencionó que el atacante no puede ver ningún paquete de respuesta, porque esos paquetes de respuesta se enviarán a la dirección IP falsificada.

Mi pregunta es, si la dirección IP falsa está en la misma red (bajo el mismo dominio de colisión) donde el atacante envía paquetes falsificados, ¿recibirá el atacante los paquetes de respuesta?

Gracias.

    
pregunta 柯鴻儀 05.11.2015 - 20:49
fuente

4 respuestas

1

Dentro de un dominio de colisión no hay filtrado en el cable. Así que la respuesta será entregada a la NIC de los atacantes.

Normalmente, los NIC de los atacantes soltarían dichos paquetes sin pasarlos al host, pero si el atacante pone su nic en "modo promiscuo" obtendrán la respuesta.

P.S. Si realmente quería decir dominio de difusión en lugar de dominio de colisión, vea la respuesta de davidb.

    
respondido por el Peter Green 11.10.2016 - 13:47
fuente
4

Depende de lo lejos que vayas en la suplantación de identidad. Cuando solo falsifica la dirección IP pero no la dirección MAC, el host original obtendrá la respuesta.

Si no solo falsificó la dirección IP sino también la dirección MAC, también puede suceder que reciba la respuesta. Esto se debe a que los conmutadores de su LAN no asignan direcciones mac a puertos físicos. Esto significa que puede "por accidente" causar lo que se llama robo de puertos al falsificar también la dirección mac. Esto sucede cuando el conmutador ve que la dirección mac asignada a la dirección IP falsificada aparece en su puerto. El conmutador luego cambia su tabla CAM y asigna la dirección mac falsificada a su puerto.

El robo de puertos solo funcionará cuando se envían paquetes falsificados continuamente, lo que no parece ser el caso. Entonces, cuando suceda, solo funcionará por un tiempo muy corto hasta que la dirección mac se asigne de nuevo al puerto correcto en la tabla CAM.

    
respondido por el davidb 05.11.2015 - 21:38
fuente
2

La dirección IP aún se resuelve con el MAC almacenado en la tabla ARP de su destino y esa es la dirección de la red local. Así que sí, no ve las respuestas hasta que envenena el caché ARP de su objetivo.

    
respondido por el Zonk 05.11.2015 - 21:28
fuente
1

La respuesta destinada a un nodo en una red siempre es recibida por todos los nodos en esa red, es solo que las NIC están diseñadas para descartar el paquete si la dirección MAC de destino no coincide con la suya. Este comportamiento predeterminado puede anularse colocando la NIC en modo promiscuo (si es compatible con la NIC). Esto hará que la NIC no descarte el paquete (en la capa física) y lo envíe a la capa superior. Puede ejecutar su propio programa como TCPDUMP o WireShark en las capas superiores para capturar y analizar esos paquetes.

    
respondido por el sid-m 11.10.2016 - 17:01
fuente

Lea otras preguntas en las etiquetas