On Fri, Mar 6, 2009 at 3:13 PM, Andrea Sistarelli <[email protected]> wrote: [...] > Anche io sapevo così.. Ma effettivamente con ettercap riesce a catturare il > traffico tra 2 host qualsiasi sfruttando la tecnica del men-in-the-middle. > Ettercat invia sulla rete il mac address come risposta a una fantomatica > richiesta ARP per l'ip sorgente e destinatario, così tutto il traffico passa > da te..
Se non ho letto male l'attaccante fa uscire un pacchetto con sorgente e destinatario uguale al MAC del PC attaccato. In questo modo lo switch crede che il PC attaccato sia collegato alla nostra porta e ci invia i pacchetti a lui destinati. In seguito viene mandata una richiesta arp broadcast alla quale il PC attaccato risponde, riportando la situazione allo stato originale. Ovvio che questa cosa deve ripetersi continuamente per garantire due cose: - che il PC attaccato continui a ricevere traffico e non venga tagliato fuori dalla rete - che noi continuiamo a leggere il suo traffico A questo punto immagino che lo switch rilevi un traffico anomalo e un bravo netadmin dovrebbe accorgersene. Smentitemi pure se ho commesso errori :) _______________________________________________ http://cug.areanetworking.it [email protected] http://ml.areanetworking.it/mailman/listinfo/cug
