Как стать автором
Обновить

Комментарии 29

так завтра на работе попробую, спасибо…
Забыл добавить, что если стоит брандмауэр, то тогда он выдаст сообщение о подмене адреса.
на компьютере жерве?? и брэндмауэр Windows выдаст сообщение?
На компьютере жертве. Виндовс не выдает, а вот Касперский с антихакером выдает.
НЛО прилетело и опубликовало эту надпись здесь
Есть такая штука как арп-кеш. Файервол регулярно его проверяет и в случае, если произошло изменение (то есть был один, а стал другой) — выдается сообщение.
Видимо по аналогии с arpwatch. Если «жертва» и «нежертва» находяться в разных вланах, подозреваю что ничего такого не вылезет ;)
равно как и арп спуф для них работать не будет.
как бы будет — если самоцель заспуфить местный dhcp без бинда маков к портам на свиче.
такая подмена теоретически не перехватит трафик меджу жервой и «где-то-там», а просто отберет его у жертвы.
кроме того, большой вопрос с маршрутизатором — он по идее должен прирезать такой цирк с маками.
Если бы вы прочитали полностью текст, то вы бы увидели, что для того, чтобы жертве доходил трафик — включается перенаправление в iptables. Плюс лично у меня таким образом есть кукисы для контакта, а если бы трафик жертве не доходил — tcp соединение бы просто не установилось.

Маршрутизатор не знает — является ли такая подмена цирком или это нормальная ситуация. Как он должен прирезать? Заблокировать мак адрес? Но там же клиент сидит. Единственный вариант — сделать запись статической, а не динамической. Но в сохо маршрутизаторах такая функция не реализована.
маршрутизатор это граница широковещательного домена, вы не получите броадкаст от узла если висите на разных портах маршрутизатора.
он видит дубли маков, клиент ведь таки ломится к нему?
Вы про то, что у маршрутизатора получается несколько компьютеров в присоединенной сети с одинаковым мак-адресом? Так такое делать никто не запрещает. Маршрутизатор при отсылке пакета делает проверку только на ip->arp но не наоборот. Так что по сути маршрутизатор и не понимает то, что у нескольких устройств одинаковый мак-адрес. Так как эта ситуация является нестандартной, то обработка этого в SOHO-маршрутизаторах не делается, чтобы не нагружать процессор.
В soho много чего нереализованно, но вычисляются эти атаки как 2х2. Основной признак — маршрутизатор слышит в сети пакет предназначенный жертве — пакет сообщает что ip принадлежащий маршрутизатору находиться на мак адресе не принадлежащем маршрутизатору.
В подобных атаках бОльшей проблемой является борьба с ней, чем обнаружение ее. Не каждая железка сможет определить с какого порта идут пакеты, а уж с вайфаем еще сложней — там нельзя просто выдернуть клиенту провод, а маки меняются как перчатки.
Борьба тут просто невозможна… лучшее что может сделать железо — это предупредить админа. Если клиентов мало, то можно прописать мак статикой.
А как у некоторых провайдеров — широковещательные сегменты по 2500 человек. Там вариантов нет.
Если WiFi взломан, то смысл делать arp-спуфинг, когда можно просто снимать трафик и анализировать его.
Возможен вариант — как у меня, когда я не вижу другого клиента. А также с помощью arp-спуфинга можно еще и трафик проводных клиентов получать по вайфаю.
Спасибо, пойду попробую ((:
Снова началась неделя кулхацкеров?
Через роутер вообще никак… Насколько я понял, что компьютер атакующего и жертвы находятся в одной подсети. Значит трафик идет через не роутер, а свитч.
Да-да. А завалить (почти) любую локалку можно рассылкой default_gw is 00:00:00:00:00:00 броадкастом :)
Но это году так в 2001-ом еще в ettercap'е было реализовано всё.
То, что надо, спасибо!
Пытался снифферить свою сеть — вижу только свой и широковещательный траффик. Собирался поспуфить, но руки всё не доходили… А тут как раз мануал, круто!
> Посмотрим таблицу маршрутизации компьютера Victim:

Это не таблица маршрутизации, а таблица сопоставления физических адресов IP адресам.
Таблица маршрутизации — это совсем другое.
Извиняюсь, поправил.
на каждую хитрую… есть свой arp inspection :) потом придется объяснительную писать, зачем вам понадобилось перехватывать чужой трафик.
Странно, что пока никто не придрался к make install.
Зарегистрируйтесь на Хабре , чтобы оставить комментарий

Публикации

Истории