Perdón por contestar hasta ahora, no pensé que el hilo continuara.
Ahora mi pregunta es porque?
El usuario quiere ingresar a
www.hotmail.com ,porque la maquina atacante recibe por el puerto 80 esos segmentos que decis vos?
Ese es el sentido de un ataque Man in the middle (ponerse en medio e interceptar el tráfico entre el destino y la víctima o entre ésta y aquél), es también la forma en como funcionan las redes IP que lo permiten. Cuando la máquina que ataca manda paquetes ARP reply a la víctima (envenenamiento del ARP caché) le hacen creer que ella es el router y que si quiere enviar paquetes de conexión a hotmail, los tiene que mandar a través de ella. La víctima actualiza su caché y pone la dirección MAC del atacante en lugar de la del router y le manda
todos sus paquetes destinados a cualquier máquina fuera de la LAN mientras continue el envenenamiento, sea a hotmail o gmail o facebook.
Ahora bien, el atacante configura su equipo para que reciba el tráfico http de la víctima (todo el tráfico dirigido al bien conocido puerto tcp 80 discriminando todo lo demás que no le interesa) y efectivamente actuar como un router, procesa los paquetes en todo el camino de desencapsulamiento (trama, paquete, segmento), entra en escena sslstrip para hacer creer que es una conexión segura cuando no lo es y finalmente los encamina al verdadero router quien se encarga de mandarlos al servidor de hotmail.
Yo pense que solo el servidor del sitio a visitar (en este ejemplo hotmail),recibe los segmentos en el puerto 80 y como tiene algun apache escuchando ese puerto,responde.
Osea,no entiendo porque la maquina atacante ,recibe informacion por el puerto 80 si el pedido de lo que desea visitar el usuario no corresponde a esa maquina.
El equipo atacante se está haciendo pasar por el router que manda los paquetes de la víctima, fuera de la LAN al servidor de hotmail. Sólo se pone en medio para husmear los paquetes y hacerse de los pass, es decir nunca en este caso se encarga de contestar.
Como ya te expliqué la máquina atacante recibe paquetes
dirigidos al puerto 80 porque ese puerto está asociado con el tráfico http de la víctima, no le interesa otro, y de hecho a través de esa configuración descartará todo lo demás que pueda venir de la víctima. En realidad el equipo atacante no tiene a la escucha ningún servidor web, sólo tiene una regla del cortafuego para aceptar tráfico dirigido al puerto 80, porque no desea recibir
todo lo que venga del equipo al que se está atacando, a ver si ahora me entiendes mejor.
Quien se esta encargando entonces de enviarle al puerto 80 de mi maquina(atacante) toda esa informacion?
No entiendo bien a que te refieres.
Por supuesto en este caso particular es sólo el equipo que esté siendo atacado mediante el envenenamiento ARP el que manda paquetes al atacante. De regreso de hotmail los paquetes llegan al router, usa NAT y como éste no está siendo atacado con envenenamiento ARP sabe a que equipo mandarlos. Todo el ataque incluyendo el uso de sslstrip es para capturar información privada que iría dirigida a una aplicación http aunque el usuario crea que es https.
Corriendo el Wireshark ,puedo ver claramente los pedidos http de la victima por el puerto 80,ahora si no haria ninguna ataque y se corriera (solo imaginando) el Wireshark en el router,tambien veria lo mismo?Porque por lo que me dijieron mas arriba el router no recibe esa info por ningun puerto logico.
Perdona si te maree un poco!Pero me cuesssssssta!jajajaj ,Gracias nuevamente!!
Si no hubiera ataque de envenenamiento ARP en la víctima y pudieras 'ver' los paquetes que pasan por el router efectivamente podrías ver el tráfico http, si fuera tráfico https iría cifrado. Pero recuerda un router tradicionalmente no está diseñado para 'ver' el contenido de los paquetes IP, sólo revisa la cabecera de éstos para tomar decisiones de por cual puerto físico encaminarlo(mapeando la dirección IP con sus tablas de rutas) o si encuentra un error en ella regresar un paquete de control (ICMP) al equipo que los mandó.
Saludos.