Anoche me conecté a una red BT Fon local en la que ya estaba mi compañero de casa. Mi objetivo era encontrar su dirección mac, así que hice un comando arp -a (de OS X) y solo devolvió la dirección del enrutador.
¿Alguien puede decirme por qué es esto?
¿Sería nmap -sP la siguiente línea de 'ataque' cuando algo como esto falla?
Respuesta1
Desde la sustitución generalizada de concentradores por conmutadores (¿todavía pueden encontrar concentradores en algún lugar????), el tráfico icmp no llega indiscriminadamente a todos los usuarios conectados al mismo conmutador. Por lo tanto, si bien seguramente verá tráfico icmp tanto de transmisión como de unidifusión (¡para usted!), no debería poder ver nada más. Esto se hace por razones de seguridad. Al tener tanto la dirección IP como la dirección MAC de un host, puedes jugarles una serie de trucos, como ataques MIM (Man In the Middle); o puede evadir la seguridad en redes de portales cautivos y acceder a Internet de forma gratuita.
Para determinar si el tráfico icmp está controlado en su red, intente:
ping -c1 -b 192.168.1.255
donde la dirección IP anterior debe ser la dirección de transmisión de su red, y vea si recibe alguna respuesta. Si no lo hace, es probable que el tráfico icmp esté siendo controlado de cerca.
De hecho, en estos casos es mucho más sencillo detectar un dúo IP/MAC a través de wifi: simplemente coloque su tarjeta wifi en modo monitor y escuche todo el tráfico icmp: debería poder ver ambas consultas (¿Quién tiene 192.168.1.113? Dile a 192.168.1.1) y responde (192.168.1.113 está en 00:11:22:33:44:55). Por supuesto, esto requiere que usted y la víctima estén físicamente cerca.