web-dev-qa-db-fra.com

Comment les paquets de capture de wifshark dans LAN sans arpspoof?

J'ai créé un environnement de laboratoire qui a Windows 7 et Kali Linux dans VMware.

À Kali Linux, j'ai ouvert Wireshark et j'ai commencé à écouter du trafic sur Eth0. Après cela, dans ma machine Windows 7, j'ai ouvert un site http et saisi quelques informations de connexion à ce site.

Wireshark a été capable de capturer cette information de connexion.

Comment WireShark capture-t-il ces paquets? Windows 7 a envoyé ses paquets au routeur mais Wireshark a été capable de les capturer.

Je n'ai pas utilisé arpspoof pour l'attaque Mitm, donc je n'ai pas trompé de Windows 7 dans la pensée de la machine Kali était la passerelle ni la passerelle alors que Kali Machine est Windows 7. Donc, mon devinait était donc WireShark ne devrait pas capturer ces paquets mais cela les capture De toute façon.

Quelqu'un peut me dire pourquoi?

3
G.Baysec

La raison pour laquelle WireShark peut capturer tous les paquets est à cause de l'environnement NAT Environment. Dans NAT, VM's in VMware utilisera l'adaptateur physique. C'est le NIC de mon ordinateur. SO VMware fournit la carte Ethernet à la machine virtuelle. Les Windows 7 et Kali utiliseront la même carte Ethernet car VMware pointe ma carte Ethernet sur cette machine virtuelle pour l'accès à Internet. Donc, lorsque je renifle d'Eth0 de Wireshark, à cause de Windows 7, utilisez le même carte Ethernet, tous les paquets seront capturés par le Wireshark. Ce laboratoire doit être effectué dans un environnement de réseau de l'adaptateur ponté. Dans cet environnement, VMware devrait isoler les Nics pour les VM. Ainsi, il y a un besoin d'arpspoofing afin de Capturez le trafic de Kali.

0
G.Baysec

Ce n'est en fait pas une question de sécurité du tout. La question que vous souhaitez demander est de savoir comment un nœud sur un réseau peut voir les paquets qui ne sont pas destinés à cela. Pour cette réponse, vous devez comprendre comment fonctionne la mise en réseau Ethernet.

Les réseaux Ethernet sont des réseaux de diffusion, ce qui signifie que chaque noeud sur le même segment peut voir le trafic de tous les autres nœuds. Aucune astuce requise.

Un commutateur et un point d'accès WiFi agit comme un commutateur, brise ces zones de diffusion (principalement) de sorte que seuls les nœuds qui doivent se parler soient voir le trafic. C'est pourquoi vous avez besoin d'ARP-Spoof: vous devez tromper le nœud de la victime pour vous envoyer d'abord le trafic, puis vous le transmettez à la destination prévue.

Mais sans commutateur, tout le monde peut voir le trafic de tout le monde. Ainsi, votre WireShark de Kali pourrait simplement et voir facilement le trafic envoyé par l'autre noeud. Aucune astuce requise.

5
schroeder