[eside-ghost] Re: Tablas ARP

[zgor en int80h.net]

Aupix, 

>     Ando con unas liadillas, un dia hablando con el antilles se nos
> ocurrio una movida pa spoofear webs en una lan y blablabla, el caso es
> que ando mirando el tema y he tenido que hacer un proceso para arp
> poisoning.
>     El tema es que funciona(relativamente), pero no lo acabo de pillar,
> antes pensaba que se envenenaba la tabla arp del switch solo, y era este
> el que las liaba pajarracas, pero ahora que lo he hecho he visto que
> toqueteo las tablas arp de los dos equipos entre los que me quiero
> meter. El tema es que no me aclaro de la importancia de la tabla del
> switch una vez que tengo todo funcionando, osea los hosts envenenados
> mandandomelo todo a mi. Y como imagino que es algo que se me escapa pos
> pregunto a ver si alguien me ilumina.

En el fondo, al switch no le enganias (siempre que habelmos de un switch 
ethernet clasico l2). El tipo es muy metodico, destino tal mac->tal boca. 
Con arp spoof al que enganias es al equipo victima haciendole pensar que tal 
IP esta en tal MAC, enviando falsas respuestas arp replys. De esta forma, 
cuando quiera enviar algo a esa determinada IP, como estamos hablando de 
ethernet, consturia un ethernet frame con la mac destinado equivocada, 
aunque luego a nivel ip este bien.
logicamente, lo que se suele hacer en lan para estas pruebas de concepto es 
enganiar al equipo router y a una estacion , para ponerse en medio y todo el 
asunto volador
Hay bastantes herramientas que aplican estas tecnicas, aunque en mi humilde 
opinion lo mejor es ir haciendo pruebas primero con las herramientas del 
paquete dsniff ... empezando con arpspoof que envia las respuestas falsas
lo mas interesante es dejar el proceso corriendo y ver con un sniffer en 
real time lo que pasa por tu iface, es interesantisimo ...
en concreto, cuando tu victima este envenenada, te enviara a ti y tu SO, al 
ver que no tiene esa IP en ninguno de sus ifaces ya sean logicos/fisicos lo 
que hara es descartarlo, o en el caso de que tengas ip forwarding activado 
(siempre hablando en gnu linux) enviara un icmp redirect y a la vez 
reenviara el paquete pero con la IP de la victima logicamente no con la tuya 
... para jugar con spoofing y tal, con el nat de iptables se pueden hacer 
cosas muy divertidas
para lo que decis en concreto, puedes construirte con iptables reglas que 
redirijan a tal servidor tal cual en caso de ver que se pide una conexion al 
80 de un determinado servidor, para llegar a hacerlo a nivel de host iwal 
con l7 matchs de netfilter se podria jugar de luxe tb yo creo
pero es mas facil, no recuerdo si era con una herramienta de la suite dsniff 
o con ettercap, te hacen dns spoof, falseando respuestas dns , de tal forma 
que cuando pidan elmundo.es al dns le puedas responder con abc.es y cosas de 
estas ... lo que pasa que con estas pruebas el proxy cache transparente de 
vuestro ISP os puede jugar malas pasadas y pensar que no estan funcionando 
las pruebas
epa, se me ha ido un poco la pinza del asunto principal XDD XDD lo que decia 
es que lo mejor es ir poco con arpspoof y de paso puedes dejar en la 
supuesta victima un watch arp -a -n para ver como va evolucionando su tabla 
cache arp y tal, es bastante interesante
luego ya ettercap es bastante caniero con sus plugins y tal 

epa, pues eso, que es interesante el asunto y divertido :DDD vete probando y 
si eso comenta algo a ver que tal :DD 


enga, suerte!