Arp Spoofing

1. Arp Spoofing

Zwormy
Zwormy

(usa Linux Mint)

Enviado em 12/07/2021 - 17:07h

Boa tarde, alguém poderia me explicar o motivo de o pacote da máquina vim para a minha se eu apenas troquei o MAC e não o ip? Se as máquinas se comunicam por ip, porque ao trocar apenas o MAC da tabela arp de um pc alvo o pacote vem para mim e não para o Roteador(Utilizei o roteador). As máquinas se comunicam por MAC??


  


2. Re: Arp Spoofing

Carlos A. P. Cunha
Carlos_Cunha

(usa Linux Mint)

Enviado em 12/07/2021 - 21:12h

Zwormy escreveu:

Boa tarde, alguém poderia me explicar o motivo de o pacote da máquina vim para a minha se eu apenas troquei o MAC e não o ip? Se as máquinas se comunicam por ip, porque ao trocar apenas o MAC da tabela arp de um pc alvo o pacote vem para mim e não para o Roteador(Utilizei o roteador). As máquinas se comunicam por MAC??


De uma forma bem simples, antes das estações se comunicar via IP(Camada 3) , elas iram se comunicar via ARP(Camada 2), então nesse passo a maquina B colocara na sua própria tabela de ARP(ver co comando arp -n) dizendo que IP X pertence a MAC Y, por isso quando é feito esse processo que vc menciona ocorre o que vc também informou.
Quando vc troca o MAC, deve estar ocorrendo um ação de "Arp gratuito" que é aonde a estação diz pra rede que o IP X pertence agora ao MAC Y, sem isso, ao trocar um IP de uma estação, a mesma só funcionaria de imediato para quem não tinha ela na tabela arp ou depois do cache expirar, mas com "arp gratito" ele informa para as novas estações e quem ja tinha algo na tabela arp, se atualiza.





#-------------------------------------------------------------------------------------#
"Falar é fácil, me mostre o código." - Linus Torvalds
#-------------------------------------------------------------------------------------#



3. Re: Arp Spoofing

Zwormy
Zwormy

(usa Linux Mint)

Enviado em 13/07/2021 - 16:20h

Carlos_Cunha escreveu:

Zwormy escreveu:

Boa tarde, alguém poderia me explicar o motivo de o pacote da máquina vim para a minha se eu apenas troquei o MAC e não o ip? Se as máquinas se comunicam por ip, porque ao trocar apenas o MAC da tabela arp de um pc alvo o pacote vem para mim e não para o Roteador(Utilizei o roteador). As máquinas se comunicam por MAC??


De uma forma bem simples, antes das estações se comunicar via IP(Camada 3) , elas iram se comunicar via ARP(Camada 2), então nesse passo a maquina B colocara na sua própria tabela de ARP(ver co comando arp -n) dizendo que IP X pertence a MAC Y, por isso quando é feito esse processo que vc menciona ocorre o que vc também informou.
Quando vc troca o MAC, deve estar ocorrendo um ação de "Arp gratuito" que é aonde a estação diz pra rede que o IP X pertence agora ao MAC Y, sem isso, ao trocar um IP de uma estação, a mesma só funcionaria de imediato para quem não tinha ela na tabela arp ou depois do cache expirar, mas com "arp gratito" ele informa para as novas estações e quem ja tinha algo na tabela arp, se atualiza.





#-------------------------------------------------------------------------------------#
"Falar é fácil, me mostre o código." - Linus Torvalds
#-------------------------------------------------------------------------------------#



Então quando o atacante troca o mac na cache da máquina alvo, basicamente o que acontece é que o o arp gratuito diz que o ip (vamos supor que seja do roteador) 192.168.2.1 é do MAC(Maquina atacante), sendo assim o arp gratuito vai ignorar o (roteador) e assim os pacotes vão direto para a máquina atacante?


4. Re: Arp Spoofing

leandro peçanha scardua
leandropscardua

(usa Ubuntu)

Enviado em 13/07/2021 - 21:37h


Zwormy escreveu:

Carlos_Cunha escreveu:

Zwormy escreveu:

Boa tarde, alguém poderia me explicar o motivo de o pacote da máquina vim para a minha se eu apenas troquei o MAC e não o ip? Se as máquinas se comunicam por ip, porque ao trocar apenas o MAC da tabela arp de um pc alvo o pacote vem para mim e não para o Roteador(Utilizei o roteador). As máquinas se comunicam por MAC??


De uma forma bem simples, antes das estações se comunicar via IP(Camada 3) , elas iram se comunicar via ARP(Camada 2), então nesse passo a maquina B colocara na sua própria tabela de ARP(ver co comando arp -n) dizendo que IP X pertence a MAC Y, por isso quando é feito esse processo que vc menciona ocorre o que vc também informou.
Quando vc troca o MAC, deve estar ocorrendo um ação de "Arp gratuito" que é aonde a estação diz pra rede que o IP X pertence agora ao MAC Y, sem isso, ao trocar um IP de uma estação, a mesma só funcionaria de imediato para quem não tinha ela na tabela arp ou depois do cache expirar, mas com "arp gratito" ele informa para as novas estações e quem ja tinha algo na tabela arp, se atualiza.





#-------------------------------------------------------------------------------------#
"Falar é fácil, me mostre o código." - Linus Torvalds
#-------------------------------------------------------------------------------------#



Então quando o atacante troca o mac na cache da máquina alvo, basicamente o que acontece é que o o arp gratuito diz que o ip (vamos supor que seja do roteador) 192.168.2.1 é do MAC(Maquina atacante), sendo assim o arp gratuito vai ignorar o (roteador) e assim os pacotes vão direto para a máquina atacante?


Na verdade a máquina alvo acha q o mac do roteador é o do atacante e portanto q o atacante é o roteador. Isso só vai funcionar se o atacante puder redirecionar o tráfego e agir como um roteador(sysctl net.ipv4.ip_forward ). Tem uma ferramenta interessante chamada xArp ( http://www.xarp.net ) q procura por problemas c o arp dentro da intranet.