Cain till Windows2000

Nej, att arp-spoofa (arp-poisoning) innebär att du skickar falska ARP request och reply paket. ARP=Adress resolution protocol (om mitt minne är ok...)
Alltså, switchen/en dator broadcastar (skickar ut till alla datorer i nätet) en ARP request som frågar "Har du ip xxx, om du har det så skicka mig din MAC-adress".
Datorn som då har ip xxx svarar med sin MAC så att trafiken kan flyta på.
Den kopplingen (IP-MAC) sparas sedan i en cache hos datorn som från början frågade.

Om jag, elak som jag är, skickar ut falska replies till frågedatorn så uppdaterar jag hans cache med min adress istället.
Så paketen som egentligen skulle gå till xxx hamnar hos mig.
Vidare kan man skicka en request/reply till den egentliga mottagaren och trafiken kommer då från källan till mottagaren att gå via mig.

Vissa (kanske äldre) switchar har den funktionen (buggen..) att om fler än en dator på ett switchat nät svarar på samma ARP-request, så skickar den paketen till hela subnätet/vlan:et "för säkerhets skull". Detta ger ju också önskat resultat...

///DM

Men, om den datorn som har den riktiga ipadressen som efterfrågas också svarar på förfrågningen, vad händer då? Dessutom måste ju den svara snabbare än du, eftersom den svarar automatiskt.


Skickar den alla paket till alla datorer på samma nät, eller bara de datorer som är bakom switchen?

Det finns en hel uppsjö med varianter på denna typ av attack som kallas "man in the middle attack". En sökning på google ger ett antal bra resultat: http://www.google.com/search?hl=en&l...ddle+attack%22


Föstår inte riktigt vad du menar med "bakom switchen", men typiskt skickar den paketen till alla datorer på det subnät som den attackerande datorn (och offret) sitter på via s.k. broadcast. Ex: Om det aktuella subnätet är med 24-bitars mask, t ex 192.168.10.0/24, och den attackerande datorn har 192.168.10.10 och offret har t ex 192.168.10.20, så går ett bradcast-paket ut på 192.168.10.255 och kommer därmed att nå alla datorer med IP-adress mellan 192.168.10.1-192.168.10.254.

Hoppas det blev lite klarare nu. Hade varit lättare att förklara med en whiteboard..

///DM

Alltså, allt står rätt till i switchens arp-table. Men när jag startar upp t.ex. Cain & Able(ettercap) så skickar jag ett paket till switchen som pajjar arp-tablen. Jag skriver över alla mac-adresser med min egna. Då får jag alla paket, precis som gargamel sa..
Switchen listar väl alla mac-adresser när nätverket startas upp, lägger till när någon ny dator bootar upp. Men så länge offrets dator finns i arp-tablen behöver den ju inte förfråga om ett nytt MAC från den hela tiden, bara en gång. Och när den då skrivit i den riktiga mac-adressen, så skriver jag över..sedan tror switchen i fortsättningen att jag är den datorn.
Förstår du? ;P

Tack, det klarnar åtminstone lite nu.

However. Hur tar man reda på vilka mac-adresser switchen har i sina tabeller, sniffar man på nätet först, för att få reda på vilka datorer som är online och används?
Eller är switchen så dum att man kan tvinga den skriva över alla mac-adresser med min, på en gång?

Med "bakom switchen" menade jag "på ena sidan", sorry att jag uttryckte mig lite luddigt.

Du kan alltid ta reda på MAC-adresser inom ditt eget LAN.
Det är efter första gateway/router som den inte längre är tillgänglig.
Du behöver inte veta vilka adresser switchen redan har i sin tabell.
Du tar endast reda på mac-adressen till den ip du vill komma emellan.