Re: Re: [ml] ARP spoofing

>On 19 Jun 2004 15:48:52 -0000
>crwm@xxxxxxxxxxx wrote:
>
>> 
>> >Mentre cercavo del materiale sull'arp spoofing per svolgere una tesi sullo spoofing appunto
>> >mi sono imbattuto quasi per caso sul documento "Man in the Middle attacks" della blackhats.it.
>> >In questo testo viene trattato l'arp spoofing sia all'interno di una LAN sia da computer locale a remoto.
>> >Vorrei ottenere pi_ informazioni su due punti che non sono stati approfonditi in questo testo: 
>> >1 - per quanto riguarda l'arp poisoning sulla rete locale, e in particolare sulle contromisure
>> >     lo static ARP non _ possibile su dhcp. perch_?
>> >
>> >2 - Vorrei avere qualche ulteriore informazione sull'attacco Arp poisoning da locale a 
>> >     remoto, in particolare su come si attua l'attacco nella comunicazione tra host "legittimo" e gateway.
>> 
>> Dunque dato che il documento a cui ti riferisci e' abbastanza datato vorrei aggiungere due cose:
>> 
>> Ai metodi di mitm in LAN va aggiunto il PortStealing. Per saperne di piu' dai un occhio alla documentazione di ettercap (ettercap.sf.net) o scarica le nostre slide da (10 secondi di google....) opensores.thebunker.net/pub/mirrors/blackhat/presentations/bh-usa-03/bh-us-03-ornaghi-valleri.pdf
>> o dal sito ufficiale di blackhat.com
>> 
>> Fra le contromisure all'arp poisoning una delle migliori e' senza dubbio quella sviluppata da cisco per i soui catalyst piu' "roubsti", la Dynamic Arp Inspection. Google ti potra' dare maggiori informazioni a riguardo.
>> 
>> Per le atre domande ci sara' sicuramente qualcuno piu' bravo di me a spiegarti le cose in maniera chiara.
>> 
>> naga
>
>Esiste anche un altro aspetto sull'arp spoofing: non serve solamente a scopi di attacco, ma puo' essere anche utile, ad esempio se si volesse fornire un servizio di connessione internet in un locale a persone che arrivano col proprio laptop e non hanno DHCP attivo e non vogliono/sanno configurare o modificare i loro parametri di rete. Se puo' interessare sto scrivendo una sorta di sniffer che, installato su gw intercetta le arp request dei client (ad eccezione di quelle gratuite) e manda una reply che fa si' che i vari client "credano" che il gw predefinito che hanno impostato sia in realtà quello della rete alla quale sono connessi in quel momento.


Questa cosa esiste gia' e si chiama proxy arp :)

-----------------------------------------------------------
Spazio ILLIMITATO per la tua Email, Scanner Antivirus,
Antispam, Backup e POP3. Prova la nuova Email di superEva:
http://webmail.supereva.it/
-----------------------------------------------------------