it-swarm-eu.dev

Warum tötet eine ARP-Vergiftung alle Netzwerkaktivitäten?

Mit ettercap und ARP-Vergiftung konnte ich andere Verbindungen abhören, aber plötzlich konnte ich keine Verbindung zum Internet mehr herstellen. Um die Internetverbindung wiederherzustellen, musste ich meinen Router neu starten. (Ich habe dies auf 3 verschiedenen Routern getestet: sagem, linksys und huawei.)

Mache ich etwas falsch oder gibt es einen Sicherheitsmechanismus, der alle Netzwerkaktivitäten beendet?

17

ARP-Spoofing funktioniert normalerweise, indem alle Clients getäuscht werden, Sie seien der Router, indem die ARP-Antworten gefälscht werden, die IP-Adressen in MAC-Adressen übersetzen. Wenn Clients die ARP-Antwort erhalten, erinnern sie sich an den MAC, der der IP zugeordnet war.

Sobald Sie die Anwendung stoppen, die den Man-in-the-Middle-Teil des Vorgangs abwickelt, senden die Clients weiterhin an Ihre MAC-Adresse anstatt an die des Routers. Da Sie solche Pakete nicht mehr verarbeiten, ist der Datenverkehr schwarz und das gesamte Netzwerk fällt aus. Durch das Zurücksetzen des Routers wird eine ARP-Sendung gesendet (z. B. "Hallo, ich bin 192.168.1.1 beim 12:34:56:78:90:AB ") zusammen mit einer DHCP-Übertragung, sodass Clients erneut mit dem realen Router synchronisiert werden können.

Möglicherweise kann Ihre ARP-Vergiftungssoftware beim Schließen eine ARP-Sendung mit der tatsächlichen MAC-Adresse des Routers senden, um dies zu verhindern. Dies kann ein Fehler sein oder es ist möglicherweise noch nicht implementiert.

20
Polynomial

Wenn Sie ein Linux-basiertes Betriebssystem verwenden, müssen Sie die IP-Weiterleitung aktivieren. Andernfalls werden vom Kernel nur alle Pakete verworfen, die für eine IP-Adresse bestimmt sind, die keiner zugeordnet ist lokale Schnittstelle.

Sie können ip_forwarding aktivieren, indem Sie (als root) ausführen.

echo "1" > /proc/sys/net/ipv4/ip_forward

Und schalten Sie es ebenfalls wieder aus mit;

echo "0" > /proc/sys/net/ipv4/ip_forward

Dies wird sofort wirksam und erfordert keinen Neustart.

4
lynks

Wenn Sie nur eine Netzwerkkarte haben, können Sie alles schwarz machen. Sie benötigen eine Nic (oder virtuelle Nic), um eine Verbindung zu den Clients herzustellen und als gefälschter Router/Switch zu fungieren, und eine, um den Datenverkehr an den Switch weiterzuleiten. Ich weiß, dass ettercap dies für MiTM-Verkehr verarbeiten kann, erinnere mich aber nicht, ob es Ihrem Computer auch einen Internetzugang bietet.

Wenn Sie ettercap verlassen, sollte die Internetverbindung wiederhergestellt werden, indem die richtigen Arp-Pakete an die derzeit MiTM-Opfer gesendet werden, Sie aus der Mitte herausgeschnitten werden und die Internetverbindung wiederhergestellt wird.

Stellen Sie sicher, dass Sie beim MiTM den Router nicht auch für sich selbst MiTM-fähig machen.

3
fiasco_averted

Dieses Problem ist mir auch passiert, und in meinem Fall hatte alles mit der Verwendung von iptables zu tun. Ich habe iptables ohne den Schnittstellenparameter (-i) verwendet, wodurch die Umleitung durch meinen Computer nicht funktioniert, da iptables nicht wissen kann, zu welcher Schnittstelle Sie den Datenverkehr umleiten müssen. Ich habe gerade meinen Befehl geändert und kein DoS mehr im Netzwerk:

iptables -t nat -A PREROUTING -i wlan0 -p tcp --destination-port 80 -j REDIRECT --to-port (the port port where your going to have sslstrip listening to)

Denken Sie daran, die Benutzeroberfläche entsprechend der Art zu ändern, die Sie verwenden. in meinem fall bin ich mit einem wlan verbunden. Wenn Sie mit einer Kabelverbindung verbunden sind, würde Ihre Schnittstelle höchstwahrscheinlich eth0.

Dies funktionierte für mich unter Ubuntu 14.4.

2
xianur0n

Ihre Frage scheint darauf hinzudeuten, dass Sie Ettercap im Internet ausgeführt haben ... ISPs verfügen häufig über eine ARP-Spoofing-Erkennung und unterbrechen Sie, wenn sie Ihre böswilligen Aktivitäten sehen.

1
schroeder

Nach meiner Erfahrung wird der HTTP-Verkehr (von einem Android Client)) auf Mountain Lion mit ettercap 0.7.5.3 korrekt weitergeleitet, aber HTTPS fällt aus. SSLStrip ist ebenfalls fehlgeschlagen (bisher für mich).

0
Saad

Normalerweise verwende ich arpspoof aus dem dsniff-Paket . Dieser sendet automatisch Broadcasts, nachdem Sie das Spoofing beendet haben, und informiert die Ziel-IP (s) über die tatsächliche MAC-Adresse des Routers.

Normalerweise hat ettercap auch diese Funktionalität, daher kann dies ein Problem mit Ihrem System (Paketversion, Betriebssystem) sein oder Ihr CLI-Programm nicht ordnungsgemäß beenden (2Xctrl + c, Strg + d).

0
gotgameg