No necesitas hacer arp poisoning para el sniffing de una red wifi, hablo del sniffing, haces arp posioning de todos los equipos de la red con la puerta de enlace, es un sniffing mal hecho, porque ni necesitas hacer arp poisoning ni estás viendo todo el el tráfico capturable por tu tarjeta de la BSS (sólo estás viendo el tráfico desde/hacia internet) .

Otra cosa es la inyección de tráfico, que no es sniffing, y en todo caso para inyectar tráfico no necesitas asociarte ni hacer arp spoofing si lo que quieres es inyectar tramas de manera que parezcan haber salido de un dispositivo legítimo de la red, por ejemplo, para hacer dns spoofing,  puedes inyectar una trama de respuesta falsa a la petición dns de la víctima (que tragará si está bien construida la trama) sin necesidad de asociarte ni hacer arp spoofing.
Para hacer envenenamiento de las tablas arp de un dispositivo de la red tampoco necesitas asociarte, obviamente si quieres envenenar una tabla arp de manera que la dirección falsa a la que haga referencia esa entrada en la tabla sea la de tu tarjeta de red, entonces si necesitas asociarte, necesitas asociarte siempre que quieras que tu equipo sea y participe como un nuevo dispositivo en la red (como por ejemplo levantar un servidor en la red local que es lo que haces, entonces sí).

Pero yo no hablo de inyectar, digo que en la parte que haces sniffing haces arp spoofing de todos los dispositivos de la red ip, para hacer el sniffing de la red wifi no necesitas hacerlo (aparte de que ni siquiera estás haciendo sniffing), y si estuviesemos hablando de hacer arp spoofing para alterar el tráfico entrante y saliente de internet para "hacerse con el control" de una máquina, sería sobre una sóla máquina y la puerta de enlace, y no sobre todas las máquinas.

Un saludo

Cito del pdf:
"Una vez realizado el paso anterior, ya estaremos en el mismo segmento de red que
los hosts legítimos conectados al router inalámbrico, por lo que nos aprovecharemos
de esto para sniffar tráfico y obtener más datos de las víctimas".
"...El siguiente paso será mediante arpspoofing hacernos pasar por el router y hacer un MiM
para capturar todo el tráfico que pase desde la víctima hasta el router y viceversa."

¿En qué quedamos estamos en el mismo segmento que los demás host o es una red conmutada, estamos hablando de una red wifi o hablamos de un Punto de acceso haciendo de infraestructura con host conectados a él por cable?
Para capturar el tráfico de una máquina hacia la puerta de enlace haces arp spoofing, entonces digo yo que para hacer sniffing y ver el tráfico desde/hacia internet de las demás máquinas de la red wifi a tu manera, ¿tendrás que envenenar las tablas arp de todas las máquinas no?

No, para empezar aclárate si hablas de host que están en el mismo segmento, o hablas de una red conmutada, o de una wifi o que, porque te contradices lo que dices ahora con lo que pone en el pdf.
Si haces mitm entre la víctima y la puerta de enlace haciendo arp spoofing, sólo verás el tráfico desde/hacia internet, no puedes ver el tráfico de la víctima con máquinas de la red local, si esa víctima por ejemplo se conecta a un servidor en la red local, en su tabla arp la ip del servidor local no se corresponde con tu mac, así que ese tráfico al no tener tu tarjeta en modo promiscuo o monitor no puedes verlas, y si tuvieses la tarjeta en modo monitor o promiscuo, no necesitarías hacer arp spoofing para ver el tráfico de la red wifi.

Calculando tiempos llegará antes la nuestra, ya que la respuesta nuestra "llega desde la red local", y la legítima desde Internet.
No depende, siempre se desecha la segunda en todos los clientes DNS, la primera se toma como legítima.
Asociarte y envenenar la tabla arp es facilmente detectable, sólo hay que mirar los logs del AP.

Podrías envenenar la tabla arp con una entrada de una máquina legítima de la red, sentido puede tenerlo en ciertos casos (por ejemplo un Dos como dices pero también otras muchas cosas), pero independientemente de eso no hablé del sentido que tuviera.


Un saludo

Ok, entonces supongo que te refieres a host conectados al AP por cable, en el que el AP está haciendo de switch con estos host y la BSS.
Yo creia que hablabas siempre en el ámbito de la red wifi, o sea a host conectados inalambricamente al PA formando parte de la red inalámbrica, deberías ser más específico a la hora de describir el escenario, ya que en todo momento hablas de la red wifi y no mencionas ningún host conectado por cable.

Vuelvo a citar del pdf:
El objetivo final será hacerse con el control de la máquina de la víctima, pero en esa frase hablas de hacer aprspoofing PARA capturar el tráfico entra la víctima y el router, lo cuál como dije no es necesario (claro ahora depende si la víctima está conectada por cable al AP).




Cuando envías tráfico a otro PC en tu misma red ip, este no pasa por ningún router para que lo conmute.
Estamos en las mismas, no ves todo el tráfico desde/hacia la víctima, sino sólo el tráfico que se intercambiane los dos dispotivos cuyas entradas en la tabla arp envenenaste, nada más, todo el tráfico saliente y entrante al pc víctima que no venga desde esa "entrada envenenada", no lo verás, como por ejemplo cualquier tráfico de la víctima con un dispositivo de su misma red ip.


Con sentido me refiero a intención, como dije puede tener muchos sentidos en muchos casos, pero hablaba de envenenar una tabla arp de un dispositivo de la red sin necesidad de estar asociado no concretaba la intención/sentido de hacerlo, pero como dije puede tenerlo en ciertos casos.

Un saludo

Jaja yeah, pensé que había borrado ya la otra cuenta, pero al parecer firefox tiene guardada la clave y se ha ingresado directamente, de todas formas ya la marqué puedes borrarla, no quería seguir usando la otra por diversos motivos

Sí la hay, los dispositivos de una red wifi que deseen comunicarse con equipos de su misma red ip que tengan interfaces cableadas, debe ser una red wifi en modo infraestructura, en el que hay un  AP que hace de switch con la parte de la red cableada.
No puedes ver las tramas con tu tarjeta inalámbrica de los que están en la parte cableada porque viajan por cable, con lo cual si quieres ver el tráfico de estos host con algún dispositivo que no se encuentre en la parte inalámbrica (por ejemplo la puerta de enlace) debes hacer arp spoofing de manera que hagas creer a la víctima que la puerta de enlace tiene como dirección física tu MAC, de manera que ese tráfico que antes viajaba por cable ahora vaya dirigido a ti y viaje por el medio inalámbrico y ya sí puedes verlo, y lo mismo claro viceversa con la puerta de enlace.

Por tanto la diferencia es que la red sea conmutada con la red cableada, y por tanto necesites del arp spoofing, o que estemos hablando de víctimas en la red inalámbrica con lo cuál se trataría de hacer sniffing pasivo. Ojo, estoy hablando de sniffing todo el tiempo, que es el motivo por el que posteé.

Por eso te decía lo de especificar más, porque los dispositivos de la parte cableada no pertenecen a la red inalámbrica (aunque si puedan pertenecer a la misma red ip), por tanto debe especificarse un poco más con lo de que el ataque es sobre una red wifi.

Un saludo

Yo lo que quería apuntar unicamente es que el sniffing debe hacerse siempre con la tarjeta puesta en modo promiscuo (o también en monitor si es wifi), que si uno de los objetivo es ver el tráfico de una máquina en un dominio de colisión como es una red inalámbrica, o ver todo el tráfico de todas las máquinas de dicho dominio, puedes hacerlo y ver todo el tráfico sin necesidad de asociarse ni hacer arp spoofing (en el que además solo verías el tráfico entre las máquinas afectadas por el arp spoofing).

EDITO: Por ejemplo, se podría hacer el mismo ataque que haces sin necesidad de asociarse ni hacer arp spoofing, simplemente estando conectado a tu propio internet, haciendo sniffing e inyectando, de manera que el servidor web para la víctima al que es redirigido está en internet, y la máquina que establece la conexión con la shell de la víctima lo hace desde internet. Claro que esto es sólo posible si la víctima está en la red inalámbrica.

No digo que sea mejor o peor, es otra idea simplemente, lo que me refiero es que dependiendo del escenario (host atacados conectados por cable o por adaptador inalámbrico) tiene sus consecuencias, sobre todo a la hora del sniffing, que el pasivo es indetectable y por tanto preferible siempre que se pueda, con lo que el arp spoofing es innecesario para el sniffing en medios inalámbricos.

Un saludo