Аrp-replay атака. Что это и чем опасна.

На скрине, пример проведения мною атаки, утилитой wifite2, OC - Wi-Fi Slax.

Протокол ARP является абсолютно незащищённым. Он не обладает никакими способами проверки подлинности пакетов: как запросов, так и ответов. Ситуация становится ещё более сложной, когда может использоваться самопроизвольный ARP.

Данная атака комбинированная. Разберём, что происходит на атакуемом клиенте.

При обычной ARP-атаке на компьютере жертве проявляются тормоза тырнэта, затем, сеть зависает и в итоге, полностью отрубается от сети. Происходит деаутентификация.

Хотя объём трафика при атаке деаутентификации увеличивается, этого всё же недостаточно для того, чтобы заметно ускорить процесс сбора векторов инициализации IV. Кстати, это достаточно грубый метод, который может серьёзно помешать работе беспроводных сетей. Для более эффективной генерации трафика, данная утилита использует другой подход под названием replay attack.

Для осуществления атаки нужно перехватить нормальный пакет, высланный атакуемым клиентом, а затем постоянно передавать его (подменив атакуемого клиента нашим ноутбуком), причём чаще, чем обычно. Поскольку точка доступа не подозревает подмены (ей кажется, что пакет идёт от авторизованного клиента), то такая атака не мешает нормальной работе сети и, в то же время, позволяет, "не светясь", быстро набрать нужное количество векторов инициализации.

Теперь давайте прикинем план действий. Нам нужно перехватить пакет, переданный в результате атаки деаутентификации Void11, остановить эту атаку, а затем начать другую атаку, подменяя и передавая перехваченный пакет.

Для последней атаки прекрасно подходят пакеты протокола разрешения адресов (Address Resolution Protocol, ARP), поскольку они достаточно малы (68 байт), имеют фиксированный и легко распознаваемый формат и передаются при каждой попытке переподключения. Затем, в ход идёт ARP-spoofing. Что это и с чем его едят?

И попроще, для чайничков.

Объясняю на пальцах. Вот ты сидишь в инете и начинается эта атака. Суть этой атаки в том, что данные, отправляемые из интернета к твоему компу перехватываются с помощью запущенного ARP-spoofing-а, для того чтобы узнать твой логин, пароль или просто подсмотреть передаваемые или принимаемые тобой данные или например, чтобы ты подключался к интернету не через своего провайдера, а через компьютер хакера, который сможет полностью отследить весь твой трафик и тебя шантажировать и/или узнать все пароли, передаваемые компьютером в интернет во время того, как ты "залогиниваешься" на сервере. При обнаружении данной атаки рекомендую разорвать соединение с интернетом или воспользоваться альтернативным каналом.

После того как атака выполнена, когда компьютер A хочет передать пакет компьютеру B, он находит в ARP-таблице запись (она соответствует компьютеру хакера, обозначим его буквой С) и определяет из неё MAC-адрес получателя. Отправленный по этому MAC-адресу пакет приходит компьютеру С вместо получателя. Компьютер С затем ретранслирует пакет тому, кому он действительно адресован - т.е. компьютеру B.

Фух, объяснила, как сумела.)))