Buenas! Quería saber si estoy en lo cierto con ésto... En un ataque MITM, (llevado a cabo gracias al ARP poisoning), la PC atacante es la que realiza la consulta DNS. Es decir, si yo PC atacante me pongo entre medio de una PC victima y el router, y la PC víctima googlea www.facebook.com, yo sería el que tiene que hacer la consulta DNS para obtener la IP de facebook y recién luego de ésto hacer la petición al sitio web... Entonces hacer DNS spoofing sería simplemente no realizar la consulta y utilizar una IP que tenga en una lista de algún archivo... Cuando abrimos Ettercap y activamos el pluggin DNS spoof, lo que estamos haciendo es configurar al Ettercap para que no realice la consulta DNS y en cambio que lea el archivo etter.conf? Estoy en lo cierto en lo que digo? Otra duda ya que estamos, cuando nos conectamos  través de TOR la consulta DNS la realizamos nosotros, o sea que en los logs del servidor DNS va a figurar nuestra IP verdadera, recién luego de la consulta se empieza a conectar con los distintos nodos de la red TOR... Si estoy equivocado en algo o quieren aportar algo sobre el asunto sería muy agradecido! Quiero saber si entendí las cosas bien. Saludos!