it-swarm-id.com

Mengapa keracunan ARP membunuh semua aktivitas jaringan?

Menggunakan ettercap dan keracunan ARP, saya dapat menguping koneksi lain, tetapi tiba-tiba saya tidak dapat membuat koneksi ke Internet. Untuk memulihkan konektivitas Internet, saya harus me-restart router saya. (Saya telah menguji ini pada 3 router yang berbeda: sagem, linksys dan huawei.)

Apakah saya melakukan sesuatu yang salah atau apakah ada mekanisme keselamatan yang membunuh semua aktivitas jaringan?

17

Spoofing ARP biasanya bekerja dengan membodohi semua klien dengan berpikir bahwa Anda adalah router, dengan memalsukan respons ARP yang menerjemahkan alamat IP ke alamat MAC. Ketika klien menerima respons ARP, mereka mengingat MAC yang dikaitkan dengan IP.

Setelah Anda menghentikan aplikasi yang menangani bagian man-in-the-middle operasi, klien tetap mengirim ke alamat MAC Anda, bukan dari router. Karena Anda tidak lagi menangani paket seperti itu, lalu lintas dihitamkan dan seluruh jaringan mati. Menyetel ulang router menyebabkannya mengirim siaran ARP (mis. "Hai, saya 192.168.1.1 at 12:34:56:78:90:AB ") bersama dengan siaran DHCP, memungkinkan klien untuk melakukan sinkronisasi ulang dengan router nyata.

Dimungkinkan untuk perangkat lunak keracunan ARP Anda untuk mengirimkan siaran ARP ketika ditutup, dengan alamat MAC asli dari router, untuk mencegah hal ini. Ini mungkin bug, atau mungkin belum diimplementasikan.

20
Polynomial

Tambahan lain untuk titik-titik penerusan/perutean yang telah dibuat orang, jika Anda menjalankan OS berbasis Linux, Anda harus mengaktifkan penerusan IP, jika tidak, kernel hanya akan menjatuhkan paket yang ditujukan untuk alamat IP yang tidak dilampirkan ke sembarang alamat. antarmuka lokal.

Anda dapat mengaktifkan ip_forwarding dengan menjalankan (sebagai root);

echo "1" > /proc/sys/net/ipv4/ip_forward

Dan juga mematikannya lagi dengan;

echo "0" > /proc/sys/net/ipv4/ip_forward

Ini akan memiliki efek langsung, dan tidak memerlukan reboot.

4
lynks

Jika Anda hanya memiliki satu kartu antarmuka jaringan, Anda mungkin akan menghitamkan segalanya. Anda membutuhkan satu nic (atau virtual nic) untuk terhubung ke klien dan bertindak sebagai router/switch palsu dan satu untuk meneruskan lalu lintas ke switch. Saya tahu bahwa ettercap dapat menangani hal ini untuk lalu lintas MiTM, tetapi jangan ingat jika itu juga memberi mesin Anda akses internet.

Ketika Anda keluar dari ettercap, itu harus membangun kembali konektivitas internet dengan mengirimkan paket arp yang benar ke korban MiTM'd, memotong Anda keluar dari tengah dan membangun kembali konektivitas internet mereka.

Pastikan bahwa ketika Anda MiTM Anda tidak MiTM'ing router untuk Anda sendiri juga.

3
fiasco_averted

Masalah ini juga terjadi pada saya, dan dalam kasus saya, semuanya ada hubungannya dengan penggunaan iptables. Saya menggunakan iptables tanpa parameter antarmuka (-i) yang menyebabkan pengalihan melalui mesin saya tidak berfungsi, karena iptables tidak memiliki cara untuk mengetahui antarmuka mana yang Anda perlukan untuk mengarahkan lalu lintas. Saya baru saja mengubah perintah saya dan tidak ada lagi DoS di jaringan:

iptables -t nat -A PREROUTING -i wlan0 -p tcp --destination-port 80 -j REDIRECT --to-port (the port port where your going to have sslstrip listening to)

Ingatlah untuk mengubah antarmuka sesuai dengan apa yang Anda gunakan ex. dalam kasus saya, saya terhubung ke wlan. Jika Anda terhubung dengan koneksi kabel kemungkinan antarmuka Anda akan kami eth0.

Ini bekerja untuk saya di Ubuntu 14.4.

2
xianur0n

Pertanyaan Anda tampaknya menunjukkan bahwa Anda menjalankan Ettercap di Internet ... ISP sering memiliki deteksi spoofing ARP dan akan memotong Anda ketika mereka melihat aktivitas berbahaya Anda.

1
schroeder

Dalam pengalaman saya, lalu lintas HTTP (dari klien Android) diteruskan dengan benar di Mountain Lion yang menjalankan ettercap 0.7.5.3, tetapi HTTPS rusak. SSLStrip juga gagal (sejauh ini, untuk saya).

0
Saad

Saya biasanya menggunakan arpspoof dari paket dsniff . Yang ini mengirimkan siaran secara otomatis setelah Anda menghentikan spoofing, menginformasikan IP target alamat MAC asli untuk router.

Biasanya ettercap memiliki fungsi ini juga jadi ini mungkin menjadi masalah dengan sistem Anda (versi paket, OS) atau menghentikan program cli Anda secara tidak benar (2Xctrl + c, ctrl + d)

0
gotgameg