ARP cache poisoning e Vista

[emmebì]

Qualche settimana fa, con un mio amico, si provava a sniffare il suo traffico di rete mediante un ARP cache poisoning con Ettercap.
Tuttavia, non sono riuscito nell'intento, rimediandoci anche una bella figura

E' cambiato qualcosa su Vista per caso? Non accetta più ARP reply gratuite?

[bum]

ma ti dava errore o cosa faceva?

se dava errore No interface Foud puo essere che il programma non vada bene con vista provane altri

[emmebì]

No, solo Ettercap non mostrava output.
Non ho indagato oltre, lo so che mi bastava vedere la cache ARP sull'host, ma non l'ho fatto e la domanda mi è sorta adesso.

Che altro potrebbe portare uno sniffer ad ARP cache poisoning a non funzionare?
L'host in questione era dotato di adattatore wireless mi pare Broadcom.

NB il mio PC usava un Debian il SUO Vista.

[bum]

Che altro potrebbe portare uno sniffer ad ARP cache poisoning a non funzionare?

non so in effetti non vedo cosa possa portarlo a non funzionare.

[Habanero]

Vista sembra avere una gestione diversa per l'aggiornamento gratuito della cache ARP.. diversa da quella di XP e diversa da quanto indicato nell'RFC 826.


L'RFC826 dice che la cache ARP dovrebbe essere aggiornata nel seguente modo:

Per qualsiasi pacchetto ARP che arrivi sull'interfaccia di rete di un host, indipendentemente dal fatto che sia una richiesta o una risposta, che arrivi in via diretta o via ethernet broadcast, o che, nel caso di risposta, sia stato richiesto oppure no:

A) Se l'ip arp sorgente è già nella cache, aggiorno il mac nella arp-table
B) Se sono il destinatario del pacchetto (no broadcast) e non conosco l'ip sorgente (non ho aggiornato in A) aggiungo l'associazione ip-mac nella arp-table

In pratica se l'ip è già nella cache l'aggiorno sempre, se non c'è, creo la voce solo se il destinatario del pacchetto sono io (no broadcast).

Nel caso di Vista premetto che non ho avuto la possibilità di provare sul campo causa mancanza del suddetto OS.

In ogni caso... prendendo come riferimento l'appendice V di questo documento (pagina 36):
http://www.symantec.com/avcenter/ref...urface_RTM.pdf
si evince che:

1) Nessuna voce viene creata nella cache in seguito ad arp reply non richiesti. Questo avviene indipendentemente dal fatto il pacchetto sia destinato all'host o arrivi via broadcast.

2) Un ARP reply non richiesto aggiorna (sovvrascrive) la cache solo se esiste già una voce nell'ARP table. Questo avviene sia nel caso il pacchetto sia destinato all'host sia nel caso arrivi via broadcast.

3) Una voce viene creata solo in seguito ad una richiesta esplicita (ARP request) e solo nel caso l'ARP reply sia destinato all'host (no broadcast)


In sostanza sembra che per avvelenare la cache ARP di Vista questa debba già contenere una voce per quell'IP.
Una tecnica simile è adottata da Solaris.
Il problema dovrebbe essere facilmente aggirabile obbligando l'host ad eseguire una ARP request che gli permetta di creare la voce per l'ip di interesse. A tale scopo dovrebbe sufficiente inviare un pacchetto ICMP echo request con IP mittente "spoofato" uguale a quello dell'ip che si vuole attaccare.
A questo punto è possibile avvelenare la voce relativa a quell'ip.

Seconda possibilità è vincere una corsa sulla risposta ad una evetuale ARP request da parte dell'host. Direi che è più semplice l'opzione precedente.

[emmebì]

Grazie Habanero, perfetta risposta!

[emmebì]

Pensandoci, però, lo sniffing era di tipo "remote", quindi relativo al traffico di rete dall'host target verso il gateway (router).
Quindi il MAC del router era per forza contenuto nella cahe ARP....

Interessante il comportamento di Vista, ma il motivo dev'esser ricercabile da altra parte.

By The Way: su un Server 2008 --original-- lo sniffing funzionava, sulla stessa rete, solo che quest'ultimo era connesso by wire.

Qualche possibile issue inerente sniffing di traffico coinvolgente adattatori wireless?

[Habanero]

Originariamente inviato da emmebì
Pensandoci, però, lo sniffing era di tipo "remote", quindi relativo al traffico di rete dall'host target verso il gateway (router).
Quindi il MAC del router era per forza contenuto nella cahe ARP....

Interessante il comportamento di Vista, ma il motivo dev'esser ricercabile da altra parte.

E' possibile ma non è sicuro al 100%... le voci vengono eliminate automaticamente dalla arp-table quando non utilizzate per un certo periodo di tempo. Sicuro che la voce fosse ancora presente in cache?

Originariamente inviato da emmebì
By The Way: su un Server 2008 --original-- lo sniffing funzionava, sulla stessa rete, solo che quest'ultimo era connesso by wire.

Qualche possibile issue inerente sniffing di traffico coinvolgente adattatori wireless?

Con windows XP di sicuro funziona anche via wireless. Per quanto riguarda Vista... anche in questo caso non ho avuto modo di provare. Come dici tu è anche possibile che su rete wireless siano state adotate delle politiche ancora più stringenti.... ovviamente è tutto da verificare.

[Habanero]

Mi correggo...
in effetti se dici che la cosa non funzionava, l'host attaccato doveva per forza navigare correttamente e quindi la voce doveva essere presente....

Una cosa interessante su cui indagare...

[emmebì]

Originariamente inviato da Habanero
Mi correggo...
in effetti se dici che la cosa non funzionava, l'host attaccato doveva per forza navigare correttamente e quindi la voce doveva essere presente....

Una cosa interessante su cui indagare...

Esatto Habanero!