Ettercap man in the middle - ARP veneno

1

Estoy experimentando un poco con Ettercap en mi Wifi local. Tengo un enrutador (R), mi PC (P) con Ettercap corriendo y mi teléfono inteligente (S). En particular, estoy probando el ataque MIM con veneno ARP y parece funcionar, pero tengo algunas dudas.

He podido hacer que R crea que P tiene la dirección de S mac y que S crea que P tiene la dirección de R mac. Por lo tanto, el enrutador asigna la IP del teléfono inteligente a la dirección MAC de mi PC y el teléfono inteligente asigna la IP del Enrutador con la dirección MAC de mi PC.

Ahora, cuando el teléfono inteligente envía paquetes al enrutador usa la dirección mac de la PC y cuando el enrutador envía paquetes al teléfono inteligente usa la dirección mac de la PC. Supongamos que el enrutador envía un paquete que debería ser para el teléfono inteligente, el teléfono inteligente obtendrá el paquete como estoy usando WIFI para que todos puedan ver todo pero se caiga porque la dirección de Mac no coincide. Además, la PC podrá obtener paquetes de teléfonos inteligentes desde el enrutador, pero la capa 2 no eliminará los paquetes cuando la dirección de Mac coincida con la dirección de Mac de la PC, pero como la IP no coincide, el Kernel no debería soltarla.

    
pregunta Edge7 18.04.2018 - 21:17
fuente

2 respuestas

0

He investigado mucho sobre esto en los últimos días: De forma predeterminada, Linux elimina los paquetes con una dirección MAC diferente de la dirección NIC MAC en la que recibe el paquete. El modo promiscuo debe modificar este comportamiento. Si el ataque de suplantación de ARP ha tenido éxito, el Man in the middle recibirá paquetes de R y S (vea mi pregunta para la definición de S y R), que tendrán una dirección P MAC (este es el punto de la falsificación de ARP) pero diferente IP Puedes leer estos paquetes usando diferentes herramientas como Wireshark. Experimenté con libcap (utilicé esa biblioteca en un programa en C), creo que es usado por Ettercap, y por eso, puedes tomar esos paquetes y también modificar y reenviar. Tenga en cuenta que Ettercap no habilita el reenvío de IP de forma predeterminada:

echo 1 > /proc/sys/net/ipv4/ip_forward

De lo contrario, el propio Kernel reenviará los paquetes, pero Ettercap también ofrece modificaciones de paquetes y la eliminación de paquetes, que es posible solo si el Kernel no se ocupa de esos paquetes.

    
respondido por el Edge7 23.04.2018 - 17:46
fuente
-2

El equipo atacante no descarta el paquete porque ettercap habilita el reenvío ip antes de que comience el ataque. Si el reenvío ip no está habilitado y estos dos dispositivos (su computadora y el teléfono inteligente) no están conectados, la computadora deja caer el paquete. El ataque ARP DoS utiliza esta técnica simplemente descartando las solicitudes y bloqueando así la conexión entre la víctima y el enrutador.

    
respondido por el Merk 23.04.2018 - 16:48
fuente

Lea otras preguntas en las etiquetas