Un attaquant peut-il renoncer au trafic de réseau physique via WiFi?
Donc, je me demande - est-il possible d'un attaquant de renifler de trafic sur une connexion Ethernet si elles ne sont pas physiquement branchées dans le matériel modem/routeur, mais ils sont connectés via WiFi? Dans ce scénario, l'attaquant se connecte via Wi-Fi et la victime se connecte à Ethernet. Donc, la victime et l'attaquant sont à la fois sur le même réseau, simplement en utilisant différentes interfaces.
De ma compréhension, l'attaquant connecté au modem/routeur via WiFi ne sera pas capable de renifler le trafic Ethernet sur le même modem/routeur car ils n'ont pas d'accès physique via un câble réseau au modem/routeur. Est-ce correct?
TLDR: essentiellement avec ce que vous demandez, seules les diffusements ARP, à moins que vous ne subordonnez pas votre sans fil de votre réseau câblé.
Dans l'ensemble, cela dépend. Premièrement, votre ordinateur sur l'Ethernet peut parfois envoyer des émissions à l'ensemble du réseau. Par exemple, s'il a besoin de l'adresse MAC d'une machine sur le réseau local, elle enverra une diffusion ARP à toutes les machines du réseau local, y compris l'attaquant. Cela ne dit pas beaucoup à l'attaquant, cependant, à part cela, il existe un autre ordinateur sur le réseau et il pourrait éventuellement déduire qu'il est relié par Ethernet, car il ne peut voir aucun autre trafic Wi-Fi.
Cependant, à ce stade, il peut faire ce qu'on appelle l'empoisonnement de cache ARP. Son ordinateur pourrait répondre à la diffusion envoyée par votre ordinateur à la recherche de la machine sur le réseau local, prétendant être la machine à la recherche de la machine. Ensuite, votre ordinateur continuera à envoyer des données informatiques directement, car il pense qu'il parle au bon hôte.
Bien sûr, l'attaquant serait découvert assez rapidement si son ordinateur n'était pas configuré pour répondre correctement au trafic que vous l'envoyez. Il aide à l'attaquant d'anticiper quel type de connexion à votre ordinateur tentera de faire. Et si, par exemple, votre ordinateur tente d'ouvrir une connexion RDP à l'ordinateur de l'attaquant, ce n'est pas très utile pour l'attaquant de toute façon. Le danger réel de l'empoisonnement de cache ARP est si l'hôte de votre ordinateur essayait d'initier une connexion à sa passerelle par défaut sur Internet. L'attaquant pourrait simplement transmettre tout votre trafic à la passerelle réelle par défaut tout en agissant comme un homme moyen, reniflant tout votre trafic.
Heureusement, si le scénario que vous parlez est un réseau Wi-Fi domestique, la passerelle par défaut que votre ordinateur recherchait était le routeur Wi-Fi lui-même, et bien que je ne suis pas un expert sur les routeurs Wi-Fi, je suppose que le WI -fi routeur serait suffisamment intelligent pour ne pas transmettre une diffusion ARP demandant sa propre adresse MAC. De plus, l'attaquant devrait battre le routeur à répondre à la diffusion, qui semble improbable, mais je suppose que je pouvais être possible si vous aviez le pire routeur Wi-Fi jamais effectué.
Quoi qu'il en soit, une fois que votre ordinateur a la bonne adresse MAC pour sa passerelle Internet par défaut ou une adresse MAC, toutes les communications seront directement envoyées à cette adresse MAC. Si vous vous connectez à un autre ordinateur connecté au Wi-Fi, l'attaquant peut toujours voir ce trafic cependant.
Cette explication suppose également que votre routeur Wi-Fi est autrement sécurisé à partir de l'attaquant qui le contrôlait directement. Si vous, disez, a quitté le mot de passe de l'administrateur du routeur en défaut ou quelque chose qu'il pourrait peut-être modifier les paramètres pour le transmettre à tout votre trafic, ou écraser le micrologiciel du routeur avec celui qu'il fournit pour que le routeur lui fournit tout votre circulation.
Enfin, si vous êtes vraiment inquiet pour ces émissions d'ARP provenant de votre ordinateur, aussi peu inutiles et principalement inutiles, ils sont à moins qu'ils ne soient pour la passerelle par défaut qu'ils ne devraient pas être, alors sur un routeur plus agréable, vous pourriez être capable de sous-neuf la Réseau local Pour que le Wi-Fi soit un sous-réseau et que l'Ethernet soit un autre. Ensuite, le routeur ne devrait même pas transmettre les demandes d'ARP dans une connexion Wi-Fi.
oui.
Peu importe que la victime soit accrochée au routeur via un câble Ethernet ou une connexion Wi-Fi, elle est toujours connectée au même Routeur - Partage de ce qui est évidemment connu comme le même réseau local.
Être sur le même réseau rend très facile pour l'attaquant d'utiliser des outils tels que BackTrack, une distribution de Linux, pour utiliser des fonctions de ligne de commande, des suites et même une boîte à outils open source facile à utiliser afin de renifler et d'analyser les données du réseau. de toute sorte. Fonctions spécifiques pour PCAP (Capture de paquets) Inclure NetSniff-NG .
Ça vaut la peine de noter, puisque nous sommes sur le sujet de la sécurité LAN, que si le routeur était protégé par quelque chose comme une clé WEP ou un cryptage similaire - que des fonctions similaires telles que AIRSNIFF-NG dans les systèmes basés sur Unix peut être utilisé conjointement avec Aircrack-ng pour un accès facile à Tout réseau - seulement à être prochainement suivi du paquet local reniflant pour tous les ports souhaités.
Dans l'ensemble, de nombreux programmes tiers sont disponibles pour l'achat et le téléchargement pour la surveillance de l'activité du réseau, si vous préférez ces avenues.