TLDR ARP Poisoning не изменяет IP dst в таблице, так почему же подмена MAC-адреса другим IP-адресом помогает перенаправить трафик?
Во всех найденных мной видео объясняется, что цель отравления ARP — отправить незапрошенное сообщение для «перезаписи» таблицы ARP хоста и маршрутизатора, чтобы MAC-адрес злоумышленника MitM был связан с ними обоими и выглядел так:
Жертва: aa:bb:cc:dd:ee:ff (192.168.1.100) Маршрутизатор: aa:bb:cc:dd:ee:ff (192.168.1.1) Машина MitM: aa:bb:cc:dd:ee:ff (192.168.1.199)
Таким образом, оба сообщения в конечном итоге отправляются посреднику, который затем пересылает их на конечные точки 192.168.1.199 и 192.168.1.1, у которых на самом деле был другой MAC-адрес.
...Мой вопрос: как это работает? Если вы обманываете эти устройства, связывая неправильный MAC с правильным IP, как трафик на самом деле перенаправляется? Я имею в виду, что я вижу это так:
Жертва > отправляет пакет на маршрутизатор по адресу 192.168.1.1 > добирается до маршрутизатора и открывает пакет, чтобы обнаружить, что MAC-адрес неверный?
решение1
Как работает ARP Poisoning, если IP-адрес неверный?
Обычно это называется ARP-спуфингом, но также известно как ARP-отравление маршрутизации (APR) или ARP-отравление кэша.
ARP Poisoning не изменяет IP-адрес назначения в таблице, так почему же подмена MAC-адреса другим IP-адресом помогает перенаправить трафик?
Концентраторы, коммутаторы и локальная сеть маршрутизатора маршрутизируют данные, используя MAC-адрес, содержащийся в кадре данных Ethernet.
Во время атаки записи таблицы ARP для IP-адреса жертвы будут содержать MAC-адрес злоумышленника.
При отправке любых данных на IP-адрес жертвы или с него они будут перенаправлены на MAC-адрес злоумышленника.
Целью отравления ARP является отправка незапрошенного сообщения для «перезаписи» ARP-таблицы хоста и маршрутизатора, чтобы MAC-адрес злоумышленника MitM был связан с обоими.
Нет, это неверно.
- Записи таблицы ARP для IP-адреса жертвы будут содержать MAC-адрес злоумышленника.
- Записи таблицы ARP для IP-адреса маршрутизатора не изменяются.
- Злоумышленник может перенаправить трафик с IP-адреса жертвы на маршрутизатор, но это не обязательно.
ВидетьЧто будет дальшениже для получения более подробной информации.
Что такое ARP-спуфинг?
ARP-спуфинг — это тип атаки, при котором злоумышленник отправляет поддельные сообщения ARP (Address Resolution Protocol) по локальной сети. Это приводит к связыванию MAC-адреса злоумышленника с IP-адресом легитимного компьютера или сервера в сети.
Как только MAC-адрес злоумышленника будет подключен к подлинному IP-адресу, злоумышленник начнет получать любые данные, предназначенные для этого IP-адреса.
ARP-спуфинг может позволить злоумышленникам перехватывать, изменять или даже останавливать передачу данных. Атаки ARP-спуфинга могут происходить только в локальных сетях, использующих протокол разрешения адресов.
Источник ВеракодARP-спуфинг
Как это работает?
Атаки ARP-спуфинга обычно следуют схожей последовательности. Шаги атаки ARP-спуфинга обычно включают:
Атакующий открывает инструмент подмены ARP и устанавливает IP-адрес инструмента, соответствующий IP-подсети цели. Примерами популярного программного обеспечения подмены ARP являются Arpspoof, Cain & Abel, Arpoison и Ettercap.
Злоумышленник использует инструмент подмены ARP для сканирования IP- и MAC-адресов хостов в подсети цели.
Злоумышленник выбирает цель и начинает отправлять по локальной сети ARP-пакеты, содержащие MAC-адрес злоумышленника и IP-адрес цели.
Поскольку другие хосты в локальной сети кэшируют поддельные пакеты ARP, данные, которые эти хосты отправляют жертве, вместо этого попадут к злоумышленнику. Отсюда злоумышленник может украсть данные или запустить более сложную последующую атаку.
Источник ВеракодARP-спуфинг
Что будет дальше?
Злоумышленник может проверить пакеты (шпионаж) и при этом перенаправить трафик на фактический шлюз по умолчанию, чтобы избежать обнаружения, изменить данные перед их пересылкой (атака «человек посередине») или запустить атаку типа «отказ в обслуживании», заставив некоторые или все пакеты в сети быть отброшенными.
Источник ВикипедияARP-спуфинг
дальнейшее чтение
решение2
Например, в локальной сети, подключенной через коммутатор, коммутатор не будет декапсулировать пакет до сетевого уровня (уровня 3 OSI). Он только проверит MAC из своей таблицы CAM и перешлет пакет на нужный порт. Вот почему IP не проверяется, особенно когда таблица CAM коммутатора уже заполнена.
решение3
Когда пакет отправляется по сети канального уровня, он отправляется на MAC-адрес злоумышленника, поэтому его получает злоумышленник, а не предполагаемый получатель.
Давайте сделаем это немного конкретнее, указав сеть канального уровня. Возьмем, к примеру, Ethernet. Сетевые карты Ethernet знают только о своем собственном уровне (Ethernet). Они не знают, что такое IP, поэтому они понятия не имеют, как эти пакеты могут быть адресованы на уровне IP. Это все куча непрозрачных байтов полезной нагрузки для сетевых карт Ethernet. Отправляющая сетевая карта просто знает, что ей был передан кадр для aa:bb:cc:dd:ee:ff, поэтому она помещает этот адрес назначения в него и передает его. Только сетевая карта атакующего запрограммирована на просмотр кадров, адресованных aa:bb:cc:dd:ee:ff, поэтому только сетевая карта атакующего получает кадр, передавая его в сетевой стек ОС своего хоста.