Buenas como les va? 
Mi duda es la siguiente,mas que nada sobre Routers y Puertos:

Cuando al Router le llega un pedido de X host que desea visitar X pagina,por cual puerto recibe esta informacion?
Me dijieron que  el router no mira ningun puerto, que solo recibe la trama de datos y chequea  la IP de destino, que es lo que utiliza para enrutar.
Estos es asi?
Muchas gracias!

Buenas!Gracias por la respuesta!
Eso me quedo claro,pero ahora se me abre otra duda.
Cuando uno hace un arpspoofing,nuestra maquina pasa a ser el gateway de la victima.
Y cuando la persona entra a X sitio (www.hotmail.com) ,ese pedido yo se que entra a mi maquina(maquina atacante) por el puerto 80 (monitoreando con wireshark se ve,o cuando uno usa SSLStrip debe redireccionar lo que entra por el puerto 80 a otro puerto).
Entonces porque en ese caso la trama de datos entra por el puerto 80,pero si va directamente al router la trama no va por ningun puerto logico?

Si hay algo que no se entendio,avisame!!Muchas gracias!!!

En mi opinión y hasta donde tengo idea los puertos son identificadores lógicos de capa de transporte (usados en demultiplexión), los routers comunes trabajan en capa de red y se encargan del ruteo de paquetes, es decir remueven la cabecera de la trama que es de capa 2 ven la cabecera IP y la comparan con la tabla de rutas (nada tienen que ver con puertos lógicos), luego encaminan el paquete por la interfaz que corresponda (puerto físico del router) se vuelve a encapsular en otra trama que corresponda a capa2 y se manda al siguiente hop o al host destino si está en ese segmento de red.

En este caso cuando se hace arpspoofing el equipo atacante recibe las tramas y las redirige al verdadero router, en el transcurso se analizan los paquetes enviados por la víctima y su contenido, la cabecera de la trama es descartada porque el equipo está configurado para hacer forwarding, se inspecciona el contenido, sslstrip engaña a la víctima haciéndole creer que su conexión es cifrada en capa de transporte (SSL), cuando en realidad no es así durante el trayecto de la victima al atacante. Eso le permite a éste capturar data del paquete en texto plano, por ejemplo passwords. Después los paquetes de la víctima se vuelven a encapsular en otra tramas ahora dirigidas al verdadero router que las saca con una conexión SSL al sitio de destino con https.

Hola ccrunch (¿Tu nick es por Capitan Crunch, por el buenazo Draper? xD mmm que bien que todavía haya gente que se acuerde!):

Lo de los puertos era un añadido no una crítica. En cuanto los puertos que redirige tráfico el router (pej. 80, 21) me parece que es otro asunto, relacionado con recibir petición a x puerto y mandarlo a determinado host de la LAN. En este caso el router creo que hace algo más especializado, pues tiene que revisar las cabeceras de la capa de transporte del paquete entrante desde WAN.


Sí efectivamente, por eso me parece que la técnica está en interrumpir la conexión desde la víctima al sitio que está implementando https a fin de que no se cifre, entonces el atacante que está haciendo MITM se encarga de establecer una conexión http.  Otra posibilidad es que la conexión se cifre del host (end) atacante al host (end) destino usando https.

Recuerda que el host atacante está capturando tráfico de la víctima en el puerto 80, si en el trayecto de la víctima al atacante viniera cifrado el tráfico no sería en ese puerto y además sslstrip debería tener un algoritmo que permitiese descifrar y hasta donde sé no es el caso 

Saludos.

Hola gracias por la respuesta!
Igualmente,existe algo que todavia dudo.
Vos en una parte decis "cuando se hace arpspoofing el equipo atacante recibe las tramas y las redirige al verdadero router"
Entonces yo pregunto,porque nuestra maquina (maquina atacante) recibe las tramas por el puerto 80??Y el router (por lo que comento el otro muchacho) no la recibe por ningun puerto logico,sino por el fisico?
Eso no me queda claro,porque nosotros "actuando como el gateway" recibimos la trama por el puerto 80.
Gracias nuevamente!!