MITM utilizando la falsificación ARP con Kali Linux ejecutándose en VirtualBox con un adaptador de red wifi puenteado

0

En casa tengo dos computadoras portátiles (corriendo en Windows). Con una computadora portátil (computadora portátil atacante) intento conectarme a la mitad de la conexión de otra computadora portátil (computadora portátil víctima).

Para hacer esto, ejecute Kali Linux en un entorno virtual usando VirtualBox en la computadora portátil atacante. En VirtualBox, conecté mi adaptador wifi integrado al entorno virtual (no tengo un adaptador wifi USB externo).

Yo uso los siguientes comandos:

echo 1 > /proc/sys/net/ipv4/ip_forward
arpspoof -i eth0 -t 192.168.1.63 -r 192.168.1.254    

Después de ejecutar los comandos anteriores, puedo ver que la dirección física de 192.168.1.254 (el enrutador) cambia en la tabla ARP de la computadora portátil de la víctima (utilizando arp -a ).

La nueva dirección física es la dirección MAC del SO host de la computadora portátil atacante (por lo tanto, no la dirección MAC del adaptador virtual que utiliza Kali Linux).

Por lo tanto, la computadora portátil víctima comienza a enviar información a la dirección MAC incorrecta. Parece que Kali Linux no está recibiendo ningún dato de interés y tampoco puede reenviar los datos.

Como resultado, la computadora portátil víctima pierde su conexión a Internet, mientras que Kali Linux debe reenviar el tráfico Ethernet de la computadora portátil víctima al destino real.

1) ¿Por qué la dirección MAC en la tabla ARP de la computadora portátil víctima se convierte en la dirección MAC del SO host de la computadora portátil atacante y no en la dirección MAC del adaptador virtual utilizado por Kali Linux? Creo que tiene algo que ver con la combinación del adaptador de red virtual con el adaptador wifi integrado. Tal vez hay detalles sobre el briding que no entiendo?

2) ¿Qué debo cambiar para que este ataque funcione?

En Wireshak puedo capturar algunos datos pero no puedo sacar nada de ellos. Parece que Wireshark también está capturando el tráfico del sistema operativo host.

¡Gracias por cualquier aclaración!

    
pregunta Stefan 11.11.2018 - 13:21
fuente

1 respuesta

1

1) El problema es que para la comunicación con la máquina virtual se utiliza la dirección MAC del host. Esto es lo que hace VirtualBox cuando se conecta a un adaptador de red inalámbrica:

Del manual de VirtualBox: 6.5. Redes puenteadas

  

Nota:   La conexión en puente a una interfaz inalámbrica se realiza de manera diferente que la conexión en puente a una interfaz por cable, porque la mayoría de los adaptadores inalámbricos no admiten el modo promiscuo. Todo el tráfico tiene que usar la dirección MAC del adaptador inalámbrico del host y, por lo tanto, VirtualBox debe reemplazar la dirección MAC de origen en el encabezado de Ethernet de un paquete saliente para asegurarse de que la respuesta se enviará a la interfaz del host. Cuando VirtualBox ve un paquete entrante con una dirección IP de destino que pertenece a uno de los adaptadores de máquina virtual, reemplaza la dirección MAC de destino en el encabezado de Ethernet con la dirección MAC del adaptador de VM y la pasa. VirtualBox examina los paquetes ARP y DHCP para aprender las direcciones IP de las máquinas virtuales.

2a) Como solución utilizo un adaptador de red por cable. Usé un adaptador USB externo que es operado por el host. Lo superé con la máquina virtual. He probado esto y funciona.

2b) Lo que probablemente también funcione es poner el campo 'Modo promiscuo' en 'Permitir todo' en la sección Avanzada de la configuración del adaptador de red de la máquina virtual. Entonces el host pasará todo el tráfico al adaptador virtual. No lo he probado, pero espero que funcione.

    
respondido por el Stefan 11.11.2018 - 16:13
fuente

Lea otras preguntas en las etiquetas