it-swarm-eu.dev

Proč otrava ARP zabíjí veškerou síťovou aktivitu?

Pomocí otravy ettercapem a ARP jsem byl schopen odposlouchávat jiná připojení, ale najednou jsem se nemohl připojit k internetu. Pro obnovení internetového připojení jsem musel restartovat router. (Testoval jsem to na 3 různých routerech: sagem, linksys a huawei.)

Dělám něco špatně nebo existuje bezpečnostní mechanismus, který zabije veškerou síťovou aktivitu?

17

ARP spoofing obvykle funguje tak, že oklamá všechny klienty, aby si mysleli, že jste router, a to tím, že předstírá ARP odpovědi, které převádějí IP adresy na MAC adresy. Když klienti obdrží odpověď ARP, pamatují si MAC, které bylo spojeno s IP.

Jakmile zastavíte aplikaci, která manipuluje s man-in-the-middle části operace, klienti nadále odesílají na vaši MAC adresu namísto routeru. Protože už s takovými pakety nezpracováváte, je provoz blokován a celá síť klesá. Resetování routeru způsobí, že vysílá vysílání ARP (např. „Ahoj, jsem 192.168.1.1 na 12:34:56:78:90:AB ") spolu s vysíláním DHCP, což klientům umožňuje opětovnou synchronizaci se skutečným směrovačem.

Může být možné, že váš software pro otravu ARP bude vysílat vysílání ARP, když se zavře, se skutečnou MAC adresou routeru, aby tomu zabránil. Může to být chyba, nebo to ještě nemusí být implementováno.

20
Polynomial

Další doplněk k bodům předávání/směrování, které lidé vytvořili, pokud používáte operační systém na bázi Linuxu, budete muset zapnout předávání IP, jinak jádro prostě vypustí všechny pakety určené pro IP adresu, která není připojena k žádnému místní rozhraní.

Ip_forwarding můžete zapnout spuštěním (jako root);

echo "1" > /proc/sys/net/ipv4/ip_forward

A podobně to zase vypněte;

echo "0" > /proc/sys/net/ipv4/ip_forward

To bude mít okamžitý účinek a nevyžaduje restart.

4
lynks

Pokud máte pouze jednu kartu síťového rozhraní, můžete všechno potrápit. K připojení ke klientům byste potřebovali jednu nic (nebo virtuální nic) a chovali se jako spoofed router/switch a jeden pro přeposílání provozu na switch. Vím, že ettercap to zvládne pro provoz MiTM'd, ale nepamatuji si, jestli to také poskytuje vašemu počítači přístup k internetu.

Když odejdete z ettercapu, mělo by se znovu navázat připojení k internetu zasláním správných paketů ARP aktuálním obětem MiTM, což vás odřízne od středu a obnoví jejich internetové připojení.

Ujistěte se, že když MiTM nejsi MiTM'ing router pro sebe také.

3
fiasco_averted

Tento problém se mi také stal, a v mém případě se všechno týkalo používání iptables. Používal jsem iptables bez parametru rozhraní (-i), který způsoboval přesměrování přes můj stroj, protože nefunguje, protože iptables nemá způsob, jak zjistit, na jaké rozhraní musíte přesměrovat provoz. Právě jsem změnil svůj příkaz a žádné další DoS v síti:

iptables -t nat -A PREROUTING -i wlan0 -p tcp --destination-port 80 -j REDIRECT --to-port (the port port where your going to have sslstrip listening to)

Nezapomeňte změnit rozhraní podle toho, jaký druh používáte např. v mém případě jsem napojen na wlan. Pokud jste připojeni pomocí kabelového připojení, s největší pravděpodobností by vaše rozhraní eth0.

To pro mě fungovalo na Ubuntu 14.4.

2
xianur0n

Zdá se, že vaše otázka naznačuje, že jste spustili Ettercap na internetu ... Poskytovatelé internetových služeb mají často detekci spoofingu ARP a odřízli by vás, když viděli vaši škodlivou činnost.

1
schroeder

Podle mých zkušeností je přenos HTTP (z klienta Android)) správně předáván na Mountain Lionu, který běží s ettercapem 0.7.5.3, ale HTTPS se rozpadá. SSLStrip také selhal (zatím pro mě).

0
Saad

Normálně používám arpspoof z balíček dsniff . Tento vysílá automaticky vysílání po ukončení spoofingu a informuje cílové IP adresy skutečné MAC adresy routeru.

Normálně ettercap má tuto funkci také, takže to může být problém s vaším systémem (verze balíčku, OS) nebo nesprávným ukončením vašeho programu cli (2Xctrl + c, ctrl + d)

0
gotgameg