O envenenamento por TLDR ARP não altera o IP dst na tabela, então por que falsificar o MAC sob outro endereço IP ajuda a redirecionar o tráfego?
Qualquer vídeo que encontrar explica que o objetivo do envenenamento por ARP é enviar uma mensagem não solicitada para 'substituir' a tabela ARP do host e do roteador, para que o endereço MAC do invasor MitM seja associado a ambos, para que tenham a seguinte aparência:
Vítima: aa:bb:cc:dd:ee:ff (192.168.1.100) Roteador: aa:bb:cc:dd:ee:ff (192.168.1.1) Máquina MitM: aa:bb:cc:dd:ee:ff (192.168.1.199)
Desta forma ambos acabam enviando para o Man in the Middle que então encaminhará para os endpoints 192.168.1.199 e 192.168.1.1, que na verdade possuíam outro endereço MAC.
...Minha pergunta é como isso funciona? Se você está enganando esses dispositivos para que associem o MAC errado ao IP correto, como o tráfego é realmente redirecionado? O que quero dizer é como vejo que é assim:
Vítima > pacote para roteador em 192.168.1.1 > chega ao roteador e abre o pacote para descobrir que o MAC está errado?
Responder1
Como funciona o envenenamento por ARP se o endereço IP estiver errado?
Normalmente é chamado de ARP Spoofing, mas também conhecido como ARP Poison Routing (APR) ou ARP Cache Poisoning.
O envenenamento ARP não altera o destino IP na tabela, então por que falsificar o MAC sob outro endereço IP ajuda a redirecionar o tráfego?
Hubs, switches e o lado Lan de um roteador roteiam dados usando o endereço MAC contido no quadro de dados Ethernet.
Durante o ataque, as entradas da tabela ARP para o endereço IP da vítima conterão o endereço MAC do invasor.
Quando qualquer dado é enviado de ou para o endereço IP da vítima, ele será roteado para o endereço MAC do invasor.
O objetivo do envenenamento ARP é enviar uma mensagem não solicitada para 'sobrescrever' a tabela ARP do host e do roteador para que o endereço MAC do invasor MitM seja associado a ambos.
Não, isso não está correto.
- As entradas da tabela ARP para o endereço IP da vítima conterão o endereço MAC do invasor.
- As entradas da tabela ARP para o IP do roteador não são alteradas.
- O invasor pode optar por encaminhar o tráfego do endereço IP da vítima para o roteador, mas não é necessário.
VerO que acontece depoisabaixo para mais informações.
O que é falsificação de ARP?
A falsificação de ARP é um tipo de ataque no qual um ator mal-intencionado envia mensagens ARP (Protocolo de resolução de endereço) falsificadas por meio de uma rede local. Isto resulta na ligação do endereço MAC de um invasor ao endereço IP de um computador ou servidor legítimo na rede.
Assim que o endereço MAC do invasor estiver conectado a um endereço IP autêntico, o invasor começará a receber todos os dados destinados a esse endereço IP.
A falsificação de ARP pode permitir que partes mal-intencionadas interceptem, modifiquem ou até interrompam dados em trânsito. Os ataques de falsificação de ARP só podem ocorrer em redes locais que utilizam o protocolo de resolução de endereços.
Fonte VeracodeFalsificação de ARP
Como funciona?
Os ataques de falsificação de ARP normalmente seguem uma progressão semelhante. As etapas para um ataque de falsificação de ARP geralmente incluem:
O invasor abre uma ferramenta de falsificação de ARP e define o endereço IP da ferramenta para corresponder à sub-rede IP de um alvo. Exemplos de softwares populares de falsificação de ARP incluem Arpspoof, Cain & Abel, Arpoison e Ettercap.
O invasor usa a ferramenta de falsificação de ARP para procurar os endereços IP e MAC dos hosts na sub-rede do alvo.
O invasor escolhe seu alvo e começa a enviar pacotes ARP pela LAN que contêm o endereço MAC do invasor e o endereço IP do alvo.
À medida que outros hosts na LAN armazenam em cache os pacotes ARP falsificados, os dados que esses hosts enviam à vítima irão para o invasor. A partir daqui, o invasor pode roubar dados ou lançar um ataque de acompanhamento mais sofisticado.
Fonte VeracodeFalsificação de ARP
O que acontece depois?
O invasor pode optar por inspecionar os pacotes (espionagem), enquanto encaminha o tráfego para o gateway padrão real para evitar a descoberta, modificar os dados antes de encaminhá-los (ataque man-in-the-middle) ou lançar um ataque de negação de serviço. ataque fazendo com que alguns ou todos os pacotes da rede sejam descartados.
Fonte WikipédiaFalsificação de ARP
Leitura adicional
Responder2
Por exemplo, em uma LAN conectada por um switch, o switch não irá desencapsular o pacote até a Camada de Rede (Camada 3 do OSI). Ele apenas verificará o MAC da tabela CAM e encaminhará o pacote na porta adequada. É por isso que o IP não é verificado principalmente quando a tabela CAM do switch já está preenchida.
Responder3
Quando o pacote é enviado na rede da camada de enlace, ele é enviado para o endereço MAC do invasor, portanto é o invasor que o recebe, e não o destinatário pretendido.
Vamos tornar isso um pouco mais concreto especificando a rede da camada de enlace. Vejamos a Ethernet, por exemplo. As NICs Ethernet conhecem apenas sua própria camada (Ethernet). Eles não sabem o que é IP, portanto não têm ideia de como esses pacotes podem ser endereçados na camada IP. Isso tudo é um monte de bytes de carga opacos para as NICs Ethernet. A NIC remetente apenas sabe que recebeu um quadro para aa:bb:cc:dd:ee:ff, então coloca esse endereço de destino nele e o transmite. Somente a NIC do invasor está programada para examinar quadros endereçados a aa:bb:cc:dd:ee:ff, portanto, apenas a NIC do invasor recebe o quadro, passando-o para a pilha de rede do sistema operacional do host.