No se de donde te sacas que el Arp Poisoning lo hago a todos los equipos de la red, cito el tuto:
Esto con Ettercap es sencillo, simplemente nos ponemos encima de la Ip del router y lo
añadimos a la lista de “víctimas” pulsando el 1, y a continuación añadimos a la víctima pulsando el
2.
Cito del pdf:
"Una vez realizado el paso anterior, ya estaremos en el mismo segmento de red que
los hosts legítimos conectados al router inalámbrico, por lo que nos aprovecharemos
de esto para sniffar tráfico y obtener más datos de las víctimas".
"...El siguiente paso será mediante arpspoofing hacernos pasar por el router y hacer un MiM
para capturar todo el tráfico que pase desde la víctima hasta el router y viceversa."
¿En qué quedamos estamos en el mismo segmento que los demás host o es una red conmutada, estamos hablando de una red wifi o hablamos de un Punto de acceso haciendo de infraestructura con host conectados a él por cable?
Para capturar el tráfico de una máquina hacia la puerta de enlace haces arp spoofing, entonces digo yo que para hacer sniffing y ver el tráfico desde/hacia internet de las demás máquinas de la red wifi a tu manera, ¿tendrás que envenenar las tablas arp de todas las máquinas no?
No veo sólo el tráfico que va de la víctima hacia internet, si no TODO el tráfico que tiene como origen/destino ese PC, ya que es una red conmutada...
No, para empezar aclárate si hablas de host que están en el mismo segmento, o hablas de una red conmutada, o de una wifi o que, porque te contradices lo que dices ahora con lo que pone en el pdf.
Si haces mitm entre la víctima y la puerta de enlace haciendo arp spoofing, sólo verás el tráfico desde/hacia internet, no puedes ver el tráfico de la víctima con máquinas de la red local, si esa víctima por ejemplo se conecta a un servidor en la red local, en su tabla arp la ip del servidor local no se corresponde con tu mac, así que ese tráfico al no tener tu tarjeta en modo promiscuo o monitor no puedes verlas, y si tuvieses la tarjeta en modo monitor o promiscuo, no necesitarías hacer arp spoofing para ver el tráfico de la red wifi.
Claro que se puede inyectar sin estar asociado, pero no creo que sea muy práctico, ya que por ejemplo en el caso que dices, recibirá 2 respuestas DNS, la legítima y la nuestra, cual llegará antes?como tratará esto el host víctima?, pues depende... y como no queremos que dependa, si no que se quede con la nuestra, por eso me asocio y después enveneno la tabla ARP...
Calculando tiempos llegará antes la nuestra, ya que la respuesta nuestra "llega desde la red local", y la legítima desde Internet.
No depende, siempre se desecha la segunda en todos los clientes DNS, la primera se toma como legítima.
Asociarte y envenenar la tabla arp es facilmente detectable, sólo hay que mirar los logs del AP.
Que sentido tiene envenenar la tabla ARP con una entrada que no existe y que por lo tanto generará error, más allá de hacerle un DoS...?¿
Podrías envenenar la tabla arp con una entrada de una máquina legítima de la red, sentido puede tenerlo en ciertos casos (por ejemplo un Dos como dices pero también otras muchas cosas), pero independientemente de eso no hablé del sentido que tuviera.
Un saludo