中锋毒液中的埃特盖特人

Question

我正在我的本地Wifi Lan用Ettercap做一些实验。我有一个路由器(R)，我的pc (P)和我的智能手机(S)。特别是我正在测试ARP毒物MIM攻击，它似乎是有效的，但我有一些怀疑。

我能让R相信P有S的mac地址，让S相信P有that的地址。因此路由器将智能手机IP映射到我的PC mac地址，智能手机将路由器IP映射到我的pc mac地址。

现在，当智能手机向路由器发送数据包时，它使用PC mac地址，当路由器向智能手机发送数据包时，它使用PC mac地址。假设路由器发送一个应该是智能手机的数据包，智能手机会像使用WIFI一样接收数据包，这样每个人都能看到所有的东西，但是会因为Mac地址不匹配而下降吗？另外，PC将能够从路由器获得智能手机数据包，但是第二层不会丢弃这些数据包，因为Mac地址与PC Mac地址匹配，但是由于IP不匹配，内核不应该丢弃它？

Answer 1

在过去的几天里，我对此进行了大量的研究:默认情况下，Linux丢弃的数据包的MAC地址与它获取数据包的NIC MAC地址不同。乱交模式应该改变这种行为。如果ARP欺骗攻击已经成功，中间的人将接收来自R和S的数据包(见我关于S和R定义的问题)，其中有P MAC地址(这是ARP欺骗的重点)，但IP不同。您可以使用不同的工具(如Wireshark )读取这些数据包。我试验了libcap (我在一个C程序中使用了这个库)，我认为它是由Ettercap使用的，通过它，您可以接收这些包并修改和转发。请注意，在默认情况下，Ettercap不允许IP转发：

echo 1 > /proc/sys/net/ipv4/ip_forward

否则，内核本身将转发数据包，但Ettercap也提供数据包修改和数据包丢弃，这是可能的，只要内核不处理这些数据包。

Answer 2

攻击计算机不会丢弃数据包，因为ip转发是在攻击开始之前由ettercap启用的。如果未启用ip转发，并且这两个设备(您的计算机和智能手机)没有桥接，那么计算机将丢弃数据包。ARP DoS攻击利用了这一技术，简单地丢弃了请求，从而阻止了受害者与路由器之间的连接。