- From: "Donato Battaglino" <
>
- To:
- Subject: Re: [reti-accesso] Arp Poisoning
- Date: Tue, 27 May 2008 20:15:25 +0200
- Domainkey-signature: a=rsa-sha1; c=nofws; d=gmail.com; s=gamma; h=message-id:date:from:to:subject:in-reply-to:mime-version:content-type:content-transfer-encoding:content-disposition:references; b=KSSNBpOggjhSMWJONy4C03t+qvcykLSZFZj6KiUi2VZ3QTFW3n/xGxgxskPQD9aFI27gcfBChBst8QggLuinuCCC6FCWhnG0E2vt9evB8r2RPaU2vT+bljqNr6rI2ia82P1ZCUKvmT6MdzQMwa+jksY7m07XwCDiueAoSIcK4GA=
2008/5/27 Marco Sgorlon
<
>:
>
Una cosa che non ho capito sul MITM è:
>
attraverso le arp reply prendo il posto ad esempio di un gatway e quindi
>
posso sniffare e/o modificare il traffico dell'host, ma come faccio poi ad
>
inoltrarlo al gatway e a fare il processo inverso?
L'ARP poisoning è una delle tecniche utilizzate per portare avanti un
attacco MITM. (puntualizzaziobne :-) )
Il primo passo è effettuare l'ARP poisoning sull'host e sul gateway
(inoltrando delle arp reply opportunamente "spoofate" ). Una volta che
avete "avvelenato" le due arp cache, tulle le comunicazioni tra il
gateway e l'host passeranno per il vostro pc (dal quale effettuate
l'attacco); a questo punto avete delle possibilità:
1) sniffare passivamente il traffico, reinoltrandolo opportunamente al
gateway e all'host con i SRC MAC address opportunamente spoofati;
2) sniffare e modificare il traffico (attacco attivo) reinoltrandolo
come nel punto 1
I pacchetti sniffati e/o modificati vengono re-inoltrati verso la loro
destinazione come vengono inoltrati normalmente come gli altri
pacchetti che hanno origine nel nostro host, solo con gli indirizzi
opportunamente modificati.
Ciao a tutti
Donato
Archivio con motore MhonArc 2.6.16.