Pourquoi l'empoisonnement ARP tue-t-il toutes les activités du réseau?
En utilisant ettercap et l'empoisonnement ARP, j'ai pu espionner d'autres connexions, mais tout à coup, je n'ai pas pu me connecter à Internet. Pour restaurer la connectivité Internet, j'ai dû redémarrer mon routeur. (J'ai testé cela sur 3 routeurs différents: sagem, linksys et huawei.)
Suis-je en train de faire quelque chose de mal ou existe-t-il un mécanisme de sécurité qui tue toutes les activités du réseau?
L'usurpation ARP fonctionne généralement en trompant tous les clients en leur faisant croire que vous êtes le routeur, en simulant les réponses ARP qui traduisent les adresses IP en adresses MAC. Lorsque les clients reçoivent la réponse ARP, ils se souviennent du MAC associé à l'IP.
Une fois que vous arrêtez l'application qui gère la partie intermédiaire de l'opération, les clients continuent d'envoyer à votre adresse MAC, au lieu du routeur. Puisque vous ne manipulez plus de tels paquets, le trafic est noir et tout le réseau tombe en panne. La réinitialisation du routeur entraîne l'envoi d'une diffusion ARP (par exemple, "Salut, je suis 192.168.1.1 à 12:34:56:78:90:AB ") avec une diffusion DHCP, permettant aux clients de se resynchroniser avec le vrai routeur.
Il est possible que votre logiciel d'empoisonnement ARP envoie une diffusion ARP à sa fermeture, avec la véritable adresse MAC du routeur, afin d'éviter cela. Il peut s'agir d'un bogue ou il se peut qu'il ne soit tout simplement pas encore implémenté.
Un autre ajout aux points de transfert/routage que les gens ont fait, si vous utilisez un système d'exploitation basé sur Linux, vous devrez activer le transfert IP, sinon le noyau supprimera simplement tous les paquets destinés à une adresse IP qui n'est attachée à aucun interface locale.
Vous pouvez activer ip_forwarding en exécutant (en tant que root);
echo "1" > /proc/sys/net/ipv4/ip_forward
Et éteignez-le de nouveau avec;
echo "0" > /proc/sys/net/ipv4/ip_forward
Cela aura un effet immédiat et ne nécessite pas de redémarrage.
Si vous n'avez qu'une seule carte d'interface réseau, vous risquez de tout blackholer. Vous auriez besoin d'un NIC (ou NIC virtuel) pour vous connecter aux clients et agir en tant que routeur/commutateur usurpé et un pour transférer le trafic vers le commutateur. Je sais que ettercap peut gérer cela pour le trafic MiTM, mais ne me souviens pas s'il fournit également à votre machine un accès Internet.
Lorsque vous quittez ettercap, il devrait rétablir la connectivité Internet en envoyant les bons paquets arp aux victimes actuellement MiTM, vous coupant du milieu et rétablissant leur connectivité Internet.
Assurez-vous que lorsque vous MiTM vous n'utilisez pas également le routeur pour vous-même.
Ce problème m'arrivait aussi, et dans mon cas, tout était lié à l'utilisation d'iptables. J'utilisais iptables sans le paramètre d'interface (-i), ce qui empêchait la redirection via ma machine, car iptables n'a aucun moyen de savoir vers quelle interface vous devez rediriger le trafic. Je viens de changer ma commande et plus de DoS sur le réseau:
iptables -t nat -A PREROUTING -i wlan0 -p tcp --destination-port 80 -j REDIRECT --to-port (the port port where your going to have sslstrip listening to)
N'oubliez pas de changer l'interface en fonction du type que vous utilisez ex. dans mon cas, je suis connecté à un réseau local sans fil. Si vous êtes connecté avec une connexion filaire, votre interface sera probablement eth0.
Cela a fonctionné pour moi sur Ubuntu 14.4.
Votre question semble indiquer que vous exécutiez Ettercap sur Internet ... Les FAI ont souvent une détection d'usurpation ARP et vous couperaient quand ils ont vu votre activité malveillante.
D'après mon expérience, le trafic HTTP (provenant d'un client Android client) est correctement transmis sur Mountain Lion exécutant ettercap 0.7.5.3, mais HTTPS tombe en panne. SSLStrip a également échoué (jusqu'à présent, pour moi).
J'utilise normalement arpspoof du paquet dsniff . Celui-ci envoie des émissions automatiquement après la fin de l'usurpation d'identité, informant les adresses IP cibles de la véritable adresse MAC du routeur.
Normalement ettercap a aussi cette fonctionnalité, donc cela pourrait être un problème avec votre système (version du package, OS) ou terminer incorrectement votre programme cli (2Xctrl + c, ctrl + d)