ポートスティーリングをMiTM攻撃として使用するにはどうすればよいですか?
私は多くのMiTM攻撃について読んで試してみましたが、ポートスチールをMiTM攻撃として使用する方法がわかりません。
私の理解では、被害者の送信元MACアドレスを偽装したイーサネットフレームを送信して、CAMテーブルが攻撃者のポートと被害者のMACアドレスを関連付けて、攻撃者のポートと被害者のMACアドレスを関連付けることで、ポートを「盗む」ことができます。別のポートの背後。
これにより、攻撃者は被害者宛てのすべてのパケットを受信します。ただし、この時点ではまだ攻撃者は攻撃者のポートの背後にあるとスイッチが判断しているため、攻撃者はパケットを被害者に転送できません。
それで、これまでのところ、ポートスチールをMiTM攻撃として使用するにはどうすればよいでしょうか。
あなたが説明する行動は本当です。ただし、トリックは、攻撃者のソフトウェアが盗んだポートをそれ自体のために保持せず、次のループで進行することです。
- ポートを盗み、
- データを受け取ります
- ポートを戻し、
- データを実際の宛先に転送し、
- ステップ1に戻って、ポートを再度盗みます。
詳細については、以下の抜粋を含む Ettercap documentation を参照してください。
ポート盗難
この手法は、ARPポイズニングが効果的でない場合(たとえば、静的にマップされたARPが使用されている場合)、スイッチ環境でスニッフィングするのに役立ちます。
LANにARPパケットをフラッディングします。各「盗み」パケットの宛先MACアドレスは攻撃者のものと同じです(他のNICはこれらのパケットを認識しません)、送信元MACアドレスは被害者のMACの1つになります。
このプロセスは、各被害者のスイッチのポートを「盗み」ます。
低遅延を使用して、「盗まれた」MACアドレス宛てのパケットが攻撃者によって受信され、実際のポート所有者との競合状態を勝ち取ります。
攻撃者が「盗まれた」ホストのパケットを受信すると、フラッディングプロセスを停止し、パケットの実際の宛先に対してARP要求を実行します。
ARP応答を受信すると、被害者がポートを「取り戻した」ことが確実であるため、ettercapはパケットをそのまま宛先に再送信できます。
これで、新しいパケットを待つフラッディングプロセスを再開できます。