La falsificación de ARP mata a las víctimas conexión y otros problemas

Navega tus respuestas
7

Recientemente me interesé en oler / hacer spoofing. Estoy ejecutando Kali Linux con MITMf (9.8) y SSLstrip.

Para iniciar el ataque yo uso: 

python mitmf.py -i wlan0 --target X.X.X.2 --gateway X.X.X.1 --arp --spoof --hsts

  1. Víctima I (OS X)

    Intenté atacar mi MBP. Funciona. Puedo oler nombres de usuario / contraseñas cuando se conecta a sitios http. Aunque no dura mucho tiempo. Después de un minuto, mi conexión con la máquina víctima está completamente muerta. Tengo que detener el ataque y volver a conectar la máquina víctima al enrutador para que la conexión a Internet funcione nuevamente.

    Pensé que podría haber sido causado por tener deshabilitado el reenvío de IP, pero resulta que funciona aún peor cuando está habilitado (la conexión se pierde en la máquina de la víctima casi inmediatamente).

    Entonces, pensé que podría ser un problema con mi enrutador, así que intenté ejecutar un punto de acceso en mi iPhone. De hecho, mejoró enormemente la duración de los ataques, pero aún después de 2-3 minutos, la conexión murió en la máquina de la víctima.

    ¿Qué puede estar causando esto?

  2. Victim II (Bootcamp Windows 8.1 Pro)

    Mi segunda víctima fue una máquina con Windows 8.1 que se ejecuta en bootcamp. No hay suerte aquí tampoco. La conexión se cancela inmediatamente después de ejecutar el comando MITMf.

¿Alguien ha encontrado estos problemas?

    
pregunta gradle 25.12.2015 - 06:05
fuente

4 respuestas

1

No he usado mitmf.py, pero según su descripción, la causa más obvia es que la herramienta solo está envenenando el caché de arp de la víctima al inicio y no está interceptando la actualización del caché (lo suficientemente rápido). Esto debería ser evidente a partir de una captura de paquetes (aunque tendrá que revisar muchos datos para validarlo).

Si este es el caso, volver a ejecutar el envenenamiento de la caché de arp a intervalos regulares puede solucionar el problema.

    
respondido por el symcbean 07.10.2016 - 13:30
fuente
1

Yo diría que su programa no está utilizando un envenenamiento ARP continuo. Después de un par de minutos, el enrutador pregunta "¿Quién es quién?" ARP vuelve a la normalidad. Otra forma sería usar IPtable en lugar de manejar el envenenamiento ARP. Si pudieras publicar el contenido del script de Python que estás usando, podríamos verificar tal cosa. Por favor, publique la fuente del script de python.

    
respondido por el Z3phyre1 14.01.2017 - 22:31
fuente
0

MitmF es muy poderoso, pero recomiendo usar bettercap o scapy. También podría ser la computadora portátil que detecta el cambio y se da cuenta de que el ARP acaba de cambiar. Este tipo de cosas no son muy confiables, porque el enrutador también puede estar enviando ARP, todos se confunden y los paquetes van a todas partes.

    
respondido por el dGRAMOP 07.10.2016 - 04:57
fuente
-2

¿Intentaste ver tus paquetes en Wirehark? Creo que puede haber muchos paquetes duplicados en su enrutador que causen pérdidas en la conexión.

    
respondido por el ashish 08.08.2016 - 17:03
fuente

Lea otras preguntas en las etiquetas

Implicaciones de seguridad del atributo de descarga ¿Qué países tienen leyes vigentes que respetan las cookies o encabezados HTTP de No seguimiento?