Buenas,
estoy de becario en una empresa de seguridad y me han dejado trastear con una red bastante grande :DD
Resultado: frustrante xD

Ataque: MITM
Lo llevaba preparado de casa, en mi wifi  funciona, allí no.

Escenario:

Rango: 10.50.0.0 con broadcast 10.50.255.255, vamos una red que admite muchos hosts.
Mi puerta de enlace sacada con route -n: 10.50.0.1
La MAC no puede estar hardcodeada porque es una red donde la gente lleva su portatil y se conecta en las bocas disponibles. A no ser que la hardcodeen por bocas de conexion o a saber.

Ataque:
arpspoofing eth0 10.50.0.1   ---> Sin resultados

Como que era muy basto he intentado con un objetivo en concreto:

arpspoofing eth0 -t 10.50.x.y 10.50.0.1   ---> Sin resultados

Donde 10.50.x.y era otro pc mio conectado a la red, su tabla arp no cambiaba.

Al final he cogido el ettercap y tras un scaneo de hosts he echo un MITN desde él. ---> Sin resultados


Sabeis si hay alguna manera de evitar el cambio de MAC de una puerta de enlace? O algo que este causando que esto no funcione?


Gracias!!

Si las tablas ARP están estáticas no podras hacerlo ¿Has probado a hacer MITM entre 2 host y no hacia la puerta de enlace? Prueba haber si funciona y vas descartando posibilidades.

Un Saludo.

Pues me pasado un segundo por la red a hacer un 'arp -a', sorpresa, según Windows la tabla arp, toda es dinámica, incluido el gateway....
He intentado borrarla haber su me la volvía asignar, pero no tenia privilegios en el pc, no llevaba mi portátil para enchufarme.

Otra cosa que me ha parecido curiosa, había dos IPs:

10.50.1.2 (parece que ofrece algún servicio, el otro día también estaba)
10.50.1.174

Las dos tenían la misma MAC, osea son la misma maquina... Por lo tanto la red permite MACs duplicadas, a no ser que tengan una excepción con esa...