Oook più o meno ho capito, e provo anche a fare una prova con kali, non ho capito però come fà a deviare la connessione della vittima e la fà passare per il suo computer senza entrare nel pc vittima, grazie
Ogni dispositivo nella rete ha un indirizzo MAC inuvoco, questo indirizzo e chiamato fisico per "non cambia", quando un pc si connette ad una rete ci sono una serie di pacchetti inviati con il protocollo ARP che si scambiano il router e il pc appena collegato, il pc invia un pacchetto arp in cui chiede l'indirizzo MAC del router (Chi è all'IP 192.168.1.1? ) , il router risponde (ARP reply) con il suo ip e il MAC associato e poi invia un altro pacchetto in cui chiede al pc il suo MAC address (Chi è all'IP 192.168.1.2?) il pc risponde con il suo ip e MAC una volta terminata tutta questa fase il router salva l'ip e il MAC del pc nella sua tabella ARP cache
Un esempio di tabella ARP cache di un router
192.168.1.2 -> 01:00:00:00:00:00
192.168.1.3 -> 02:00:00:00:00:00
192.168.1.4 -> 20:00:00:00:00:00
Anche il Pc che si è appena collegato aggiorna la sua tabella ARP cache, in windows puoi controllarla con il comando:
arp -a
Il pc è il router ora utilizzeranno i mac salvati nella loro cache per comunicare tra loro
Allora L'attacco MITM (Man In The Middle) consiste nell' inviare ARP reply modificate, ad esempio ci sono Attaccamte (10:00:00:00:00:00), Vittima(20:00:00:00:00:00) e router(50:00:00:00:00:00) lo sniffing one-way consiste nell'inviare alla vittima un pacchetto ARP reply in cui gli diciamo che l'ip del router non è più associato a 50:00:00:00:00:00 ma invece è associato al MAC dell'attaccante 10:00:00:00:00:00, la vittima aggiorna la sua ARP cache con il mac dell'attaccante al posto di quello del router è quindi da ora in poi la vittima quando comunichera con il router inviera tutti i pacchetti all'attaccante.