無差別にスニッフィングするのではなく、ARPスプーフィングがスパイに使用される理由はありますか?
私はARPスプーフィング攻撃を実演しようとしている学生です。私の攻撃が機能しているかどうかをテストするために、wiresharkを使用して攻撃マシンのパケットを盗聴することにしました。最初はARPスプーフィングされた設定でトラフィックを傍受できると思っていましたが、wiresharkが無差別に傍受できるため、パケットを確認できたことがわかりました。
現在、ウィキペディアでARPスプーフィングに関する情報を読んでいます。
通常、攻撃の目的は、攻撃者のホストMACアドレスをターゲットホストのIPアドレスに関連付けることです。これにより、ターゲットホスト宛のトラフィックが攻撃者のホストに送信されます。攻撃者は、パケットを検査(スパイ)しながら、トラフィックを実際のデフォルトの宛先に転送して検出を回避したり、転送前にデータを変更(中間者攻撃)したり、サービス拒否攻撃を開始したりする可能性があります。ネットワーク上のパケットの一部またはすべてをドロップさせることによる攻撃。
ARPスプーフィングスパイイングがローカルネットワーク上でのみ機能するのは、それがレイヤー2にあり、同じローカルネットワーク上で無差別に傍受できる場合、ARP方式を選択する理由はありますか? MITM攻撃に使用される可能性があることは認識していますが、純粋にスパイ行為について質問しています。無差別リスニングを無効にすることは可能ですか?コマンドifconfig enp0s25 -promiscおよびifconfig enp0s25 promiseを使用して、インターフェースでこのモードを変更できますが、すぐには何もわかりません。
最近のネットワークでは、パッシブスニッフィング(無差別モードのインターフェースなど)は通常、ネットワーク上の他のデバイスのトラフィックをスニッフィングするには不十分です。
有線ネットワークでは、スイッチは通常、レイヤー2で複数のデバイスをリンクするために使用されます。スイッチは、各ポートに接続されているMACアドレスを学習し、宛先デバイスのあるポートからのみフレームを送信します付属。したがって、スイッチに接続している攻撃者は、無差別モードの間、他のデバイス宛てのトラフィックを受信しません。ここで、ARPスプーフィングは、トラフィックをMACアドレスに送信するように他のデバイスを説得するために必要です。これにより、スイッチがトラフィックを転送できるようになります。
スイッチ(つまり、古いネットワーク)の代わりにハブが使用されている場合、宛先がどこにあっても、すべてのフレームからすべてのフレームが送信されます。この場合、混合モードでのスニッフィングで十分です。
ワイヤレスネットワークは少し複雑になります。 WPA2ネットワークでは、他のデバイス宛てのパケットを受信することはできません(それぞれに独自の暗号化セッションがあるため)。オープンネットワークであっても、ワイヤレスカードは他のトラフィックを受信/処理したり、無作為検出モードであったりしません。この場合、盗聴するにはARPスプーフィングが必要です。
ただし、一部のワイヤレスカードは監視モードにすることができます。これにより、特定のネットワークに関連付けられていない場合でも、現在のチャネルのすべての802.11フレームをキャプチャできます。クライアントの4ウェイWPA2ハンドシェイクをキャプチャし、ネットワークの事前共有キーを知っている場合は、トラフィックを復号化できます。 ARPスプーフィングは、スニッフィングにはここでは必要ありません。
ご覧のとおり、スニッフィングのためにARPスプーフィングなどのアクティブな攻撃を必要とする場合と必要としない場合があるさまざまなネットワークシナリオがあります。