Опис Intercepter-NG

Intercepter-NG – це багатофункціональний набір мережного інструментарію для IT спеціалістів різного типу. Головною метою є відновлення цікавих даних з мережевого потоку та виконання різноманітних атак людина-посередині (MiTM). Крім цього, програма дозволяє виявляти ARP спуфінг (може застосовуватися для виявлення атак людина-посередині), виявляти та експлуатувати деякі види вразливостей, брут-форсувати облікові дані входу мережевих служб. Програма може працювати як з живим потоком трафіку, так і аналізувати файли із захопленим трафіком, для виявлення файлів та облікових даних.

Програма пропонує такі функції:

• Сніфінг паролів/хешей наступних типів: ICQ, IRC, AIM, FTP, IMAP, POP3, SMTP, LDAP, BNC, SOCKS, HTTP, WWW, NNTP, CVS, TELNET, MRA, DC++, VNC, MYSQL, ORACLE, NTLM, KRB5 , RADIUS
• Сніффінг повідомлень чатів: ICQ, AIM, JABBER, YAHOO, MSN, IRC, MRA
• Реконструкція файлів: HTTP, FTP, IMAP, POP3, SMTP, SMB
• Різні типи сканування, такі як нерозбірливий (Promiscuous) режим, сканування ARP, DHCP, шлюзу, портів та Smart
• Захоплення пакетів та подальший (офлайн) аналіз/RAW (сирий) режим
• Віддалений захоплення трафіку через RPCAP демона та PCAP Over IP
• NAT, SOCKS, DHCP
• ARP, DNS через ICMP, DHCP, SSL, SSLSTRIP, WPAD, SMB ретранслятор, SSH MiTM
• SMB Hijack (перехоплення), LDAP ретранслятор, MySQL LOAD DATA ін'єкція
• ARP Watch, ARP Cage, HTTP ін'єкція, експлойт Heartbleed, Kerberos Downgrade, Cookie Killer
• DNS, NBNS, LLMNR спуфінг
• Брутфорс різних мережевих служб

Основна версія працює на Windows, є консольна версія для Linux та версія для Android.

Ліцензія: «як є»

Режими Intercepter-NG

Intercepter-NG має сім основних режимів, які відповідають кількості вкладок програми та кількості головних кнопок:

Це режими:

• Месенджерів
• Resurrection
• Паролей
• Сканування
• RAW (сирий)

На перше місце поставлено Режим Месенджерів(Емблема ICQ). Це сталося з історичних причин — спочатку Intercepter-NG створювали як програму для перехоплення повідомлень ICQ та інших месенджерів.

Режим Resurrection(Емблемою на кнопці є Фенікс) означає відновлення файлів з мережевого потоку. Це можуть бути файли зображень, переглянутих на веб-сайтах, а також файли надісланих архівів, документів та інших.

При перемиканні на Режим Паролей(третя кнопка – зв'язка ключів) ви побачите облікові дані, захоплені з мережевого потоку. Відображаються адреси сайтів, введені логіни та паролі.

Під час запуску програми відкривається Режим Сканування(Середня кнопка - радар). Це початковий режим початку атак: у цій вкладці відбувається сканування, вибір цілей, установка інших параметрів мережі.

Вкладка MiTM(зв'язування патч-кордів) містить поля для введення налаштувань цілі, багато з яких заповнюються автоматично під час сканування на вкладці Сканування. Також є кнопки для запуску різноманітних атак.

Вкладка DHCPмістить деякі установки мережі та DHCP сервера.

Режим RAW (сирий)виводить необроблену інформацію про дані, що передаються в мережевому потоці. Інформація подана у вигляді, схожому на .

Підказки щодо використання Intercepter-NG та вирішення проблем:

• Для роботи Intercepter-NG потрібен WinPcap, але не потрібно встановлювати окремо, оскільки Intercepter поставляється з портативною версією WinPcap.
• Якщо ви не бачите свого адапетра в списку адптерів, це означає, що WinPcap не підтримує вашу картку.
• Якщо з WiFi картою нічого не працює, навіть ARP травлення, то використовуйте іконку NIC, яка знаходиться зліва від списку адаптерів, щоб переключитися на режим WiFi. Також переконайтеся, що Stealth IP має доступ до Інтернету.
• У деяких рідкісних ситуаціях BFE (Base Filtering Engine) може блокувати локальні порти Intercepter. Це виявляється так: ARP працює, але інші функції MiTM не працюють (Windows 7 і вище). Антивіруси, такі як Avast, також можуть блокувати, навіть якщо мережевий захиствимкнено в панелі керування. Ще однією причиною такої поведінки може бути одночасна робота WiFiз'єднання та служби Internet Connection Sharing.
• Intercepter підтримує 802.11 інкапсуляцію, тому ви можете використовувати pcap дампи з програм та . Також підтримуються інкапсуляції PPPoE, GRE(PP2P) та додаткові заголовки 802.11. Це не означає, що Intercepter може аналізувати зашифровані дані, це означає, що Intercepter здатний очищати ethernet\ip заголовки з пакетів цього виду та аналізувати їх.
• Через обмеження протоколів, у вкладці повідомлень чату можуть не відображатися джерело та пункт призначення UIN\MAIL\….
• Щоб скопіювати дані з таблиці паролів, натисніть рядок і натисніть ctrl+c.
• Щоб сховати вікно програми, використовуйте клавіші Ctrl+Alt+S. Натисніть знову, щоб вікно знову з'явилося.
• Intercepter можна запускати навіть на win9x (98 та 95!), але вам потрібно встановити WinPcap 3.1 або WinPcap 4.0beta2. Нові збирання WinPcap не підтримують win9x.
• Консольний режим для офлайн аналізу:

./intercepter -t dump.cap

• Для активації автоматичного сніфінгу вам потрібно відкрити settings.cfgта відредагувати " autorun". Значення за замовчуванням - 0 , змініть номер інтерфейсу, який ви збираєтеся зніффити.
• Intercepter конвертує дампи pcap із сирими інкапсульованими IP даними в Ethernet інкапсуляцію (додаючи інформацію заголовків ethernet).
• Intercepter може читати новий формат - pcapng. Оскільки всі файли захватів pcapng з Wireshark використовують тільки тип “Enhanced Packet Block”, Intercepter підтримує тільки цей тип пакетних блоків. Додатково він показує коментарі до пакетів.
• У сирому (RAW) режимі ви можете встановлювати власні правила з використанням фільтрів pcap для фільтрації трафіку. Подробиці шукайте у синтаксисі pcap фільтрації. Приклад:

port 80

означає отримувати лише пакети з tcp порту 80 із ядра.

Not port 80

означає виключити пакети з порту 80

Ви можете комбінувати правила:

Port 80 and not port 25

• Не слід працювати з величезними дампами в сирому режимі, оскільки Intercepter завантажує кожен пакет на згадку і не використовує жорсткий дискяк розділ (файл) підкачування.

Підказки щодо опцій Intercepter-NG

Опції сніфера:

• Якщо ви збираєтеся проводити офлайн аналіз pcap дампа, то для прискорення процесу зніміть галочку з “ Resolve Hosts”.
• Якщо поставити галочку на опції Lock on Tray", то при відновленні вікна з трею у вас буде запитувати пароль. Паролем за замовчуванням є" 4553 Ви можете змінити його у файлі settings.cfg. Пароль кодується base64.
• Опція " Save Session" означає, що Intercepter збереже всі отримані пакети файл pcap. Цей файл можна використовувати для офлайн аналізу даних. Це свого роду функція експорту результатів.
• Якщо встановити Promiscuous, то Intercepter відкриває мережевий адаптер у нерозбірливому (promiscuous) режимі. Це означає, що він читатиме всі пакети, навіть ті, які не призначені для даного мережного інтерфейсу. Якщо галочка знята, він зчитуватиме лише пакети, які відправлені зазначеному інтерфейсу. Деякі Wi-Fi картине підтримують цей режим.
• “Unique Data” - показувати лише унікальні логіни та паролі. Тобто. показувати захоплені логіни та паролі лише один раз — якщо користувач ввів той самий логін та пароль знову, він не відображатиметься.
• Autosave- вся текстова інформаціязберігатиметься кожні 10 секунд.
• За замовчуванням стоїть галочка на “ Grid View”. Вона означає, що паролі будуть виглядати як сітка з даними. Для перегляду повного детальної інформаціїзніміть галочку з “ Grid View”.
• eXtreme.У типовому робочому процесі сніфер аналізує певні порти асоційовані зі специфічними протоколами. Якщо ми говоримо http, ми маємо на увазі 80 порт (або 8080 або які там зумовлені в списку портів асоційованих з http протоколом). Тобто. будуть проаналізовані лише ці порти. Якщо деякі програми використовують інший порт, наприклад, 1234, тоді сніффер не аналізуватиме пакети, які проходять через нього. В режимі eXtreme Intercepter аналізуватиме всі TCP пакети без перевірки портів. Тобто. навіть якщо якась програма використовує невизначений порт, сніффер все одно перевірятиме ці пакети. Хоча це уповільнює продуктивність (необхідно перевірити набагато більше портів ніж зазвичай) і може виявити неправильні дані або пропустити правильний протокол (6наприклад, FTP і POP3 використовує той самий тип авторизації), він дає можливість знайти та перехопити цікаві дані на невизначених портах. Використовуйте цей режим на власний ризик, не дивуйтеся, якщо щось піде не так, коли eXtreme режим увімкнено.
• "Capture Only" означає, що Intercepter буде тільки зберігати пакети у файл дампа без аналізу в реальному часі. Це корисно для збільшення продуктивності, коли ви захоплюєте багато мережевих даних.
• Опція Resurrectionозначає включення режиму Resurrection, який реконструює файли даних, переданих в мережевому потоці.
• IM Ports
• HTTP. Асоційовані з HTTP порти, подробиці дивіться в описі опції eXtreme.
• SOCKS
• IRC\BNC

Опції атак людина-посередині (MiTM) у Intercepter-NG

• У всіх атаках MiTM Intercepter використовує спуфінг (підміну) адрес ip\mac (опція Spoof IP\MAC). Якщо ви використовуєте Wi-Fi інтерфейс, то ви повинні зняти галочку з цієї опції, оскільки 99% wifi драйверівне дозволяють відправляти пакети із підміненим mac. Хоча ви розкриваєте свою реальну адресу, ви хоч здатні виконувати будь-які атаки MiTM через wifi інтерфейс. Це краще ніж нічого. Замість відключення спуфінгу в налаштуваннях, використовуйте WIFI режим. Ви можете змінити показ mac в Експертному Режимі.
• iOS Killerбула додана для iCloud, а також Instagram і VK. Ця функція (iOS Killer) скидає сесії вказаних програм та дозволяє перехопити повторну авторизацію.
• Kerberos Downgrade
• HSTS Spoofing. Обхід HSTS під час SSL Strip. Техніка обходу відносно проста, але саме в реалізації є певні складнощі, тому не варто чекати якихось особливих результатів. Розглянемо приклад на Яндекс Пошта з використанням браузера Chrome. Якщо зайти на ya.ru, то праворуч верхньому куткубуде https посилання "Увійти до пошти", з якою SSL Strip легко справляється. Далі відкриється форма авторизації, де методом POST передаються дані passport.yandex.ru. Навіть "стрипнувши" https авторизація відбудеться за SSL, т.к. хост passport.yandex.ru внесений до preloaded списку хрому. Для того щоб перехопити дані нам необхідно замінити ім'я хоста passport.yandex.ru на якесь інше, щоб браузер не виявив, що цей ресурс слід відвідувати строго по безпечному з'єднанню. Для прикладу можна замінити passport.yandex.ru на paszport.yandex.ru, у цьому випадку дані будуть надіслані в відкритому виглядіна змінене ім'я домену. Але т.к. такого домену - paszport.yandex.ru немає, то додатково потрібно зробити DNS Spoofing, тобто. клієнт при перетворенні paszport.yandex.ru повинен отримати у відповідь оригінальну адресу ip від passport.yandex.ru.

Ця процедура автоматизована і вимагає додаткового втручання користувача під час проведення атаки. Єдине, що потрібно так це попередньо скласти список замін у misc\hsts.txt. За замовчуванням є кілька записів для yandex, gmail, facebook, yahoo. Важливо розуміти, що дана техніка обходу не дозволить перехопити сесію або авторизацію, якщо користувач введе в браузері facebook.com, т.к. браузер одразу відкриє безпечну версію сайту. У цьому випадку атака можлива лише якщо посилання на facebook.com буде взято з іншого ресурсу, наприклад, коли ви вводите facebook на google.com. З основних проблем у реалізації атаки можна відзначити непередбачувану логіку роботи сайтів зі своїми субдоменами та особливості web-коду, які можуть звести нанівець будь-які спроби обходу HSTS. Саме тому не варто додавати до списку будь-які сайти, навіть домени, присутні у Intercepter-NG за замовчуванням, мають свої особливості і працюють коректно далеко не завжди. Містити милиці під кожен ресурс зовсім не хочеться, можливо в майбутньому будуть внесені деякі універсальні покращення, а поки що, як кажуть, as is. Ще один нюанс, у поточній реалізації для проведення DNS Spoofing"а необхідно щоб DNS серверзнаходився не в локальної мережіщоб була можливість бачити dns запити до шлюзу та відповідати на них потрібним чином.

• IP Forward. Вмикає режим чистого IP форварда. У цьому режимі недоступні атаки MiTM, але він дозволяє почати arp травлення у ситуаціях, коли ви не можете використовувати Stealth IP. Зазвичай це необхідно, коли шлюз має білий список легітимних комп'ютерів у мережі, тому NAT не може правильно працювати.
• Cookie Killer- Обнуляє кукіз, тим самим змушуючи користувача повторно авторизуватися - ввести логін і пароль, щоб атакуючий міг їх перехопити. Функція Cookie Killer працює і для з'єднань SSL. Є чорні ( misc\ssl_bl.txt) та білі списки ( misc\ssl_wl.txt). У них можна виключити або навпаки жорстко вказати IP адреси або домени, до яких слід або не застосовувати SSL MiTM. При вказівці extra ssl port немає потреби вказувати тип read\write, достатньо вказати номер порту. Весь трафік пишеться в ssl_log.txt.
• Remote Capture (RPCAP). Libpcap дає можливість пересилати мережеві дані з одного хоста на інший через його протокол, названий RPCAP. Тобто. ви можете підняти демон rpcap на вашому шлюзі та бачити весь трафік, який через нього проходить. Після запуску демона, ви можете почати захоплювати віддалений трафік за допомогою Intercepter. Введіть ім'я хоста або IP демону в спеціальне поле і виберіть адаптер зі списку. Потім вам потрібно встановити фільтр “not host IP”, замінивши IP на дійсну IP адресу, присвоєний вашій ethernet карті (це потрібно для ігнорування rpcap трафіку між вами та демоном).
• PCAP Over IP

Ця функція пов'язана з віддаленим захопленням трафіку і є чудовою заміною старого та проблемного сервісу rpcapd. Назва говорить сама за себе. Майже на будь-якому юніксі завжди є зв'язка tcpdump і netcat, за допомогою яких можна логувати трафік на віддалений комп'ютер-приймач. В даному випадку Intercepter може відкрити порт в очікуванні потоку даних у форматі libpcap і реально вести їх аналіз.

Немає жодної принципової різниці в джерелі трафіку, тому крім tcpdump"а можна точно так само використовувати утиліту cat для читання вже існуючого.pcap лога.

Ось кілька прикладів використання, за замовчуванням Intercepter слухає 2002 порт:

Tcpdump -i face -w - | nc IP 2002

якщо планується передача трафіку через той самий інтерфейс з якого ведеться захоплення, то необхідно додати правило фільтрації, що виключає службовий трафік між сервером та Intercepter:

Tcpdump -i face -w - not port 2002 | nc IP 2002 cat log.pcap | nc IP 2002 dumpcap -i face -P -w - | nc IP 2002

це аналог tcpdump"а що входить до складу . Прапор -Pвказує на те, що слід зберігати пакети у стандартному форматі libpcap, а не у новому pcapng.

Альтернативний спосіб перенаправлення пакетів без допомоги netcat:

Tcpdump > /dev/tcp/ip/port

WPAD означає WebProxy Autodiscovering Protocol, який відповідає функції Automatically detect settings в сучасних браузерах. Ця функція дозволяє браузеру отримати поточну конфігурацію проксі без втручання користувача. Це навіть сьогодні є загрозою і атакуючий може легко налаштувати шкідливий сервер для перехоплення веб-трафіку. Ситуація посилюється тим, що Internet Explorer(і Chrome теж) підтримує цю функцію за промовчанням.

Зазвичай WPAD не налаштований в мережі, тому звичайна поведінка браузерів полягає у надсиланні запитів NetBios для імені WPAD (пропускаючи методи DHCP і DNS). Якщо відповіді не отримано, браузер просто використовує пряме з'єднання. Але якщо відповідь отримана, браузер намагається завантажити конфігураційний файл з http: /ip_of_wpad_host/wpad.dat.

Intercepter-NG відповість на кожен запит і попросить клієнтів використовувати його власну конфігурацію, щоб він міг зменшити трафік через проксі-сервер. Ви можете настроїти конфігурацію будь-якого іншого проксі-сервера в мережі або просто вибрати вбудований проксі-сервер. Вбудований проксі-сервер дає змогу використовувати функцію впровадження HTTP.

Опції експертного режиму Intercepter-NG

• SSL Strip Timeout (seconds)- Тайм-аут у секундах SSL Strip
• ARP Poison every (seconds)- Робити ARP травлення кожні … секунд
• ARP Scan Timeout (seconds)- Тайм-аут ARP сканування
• DNS Cache TTL (seconds)— Час життя в DNS кеші
• Spoofing MAC— Адреса MAC, на яку підмінятиметься адреса атакуючого
• MySQL LOAD DATA Injection
• LDAP Relay DN: DC=xxx,DC=xxx
• Stop injiction on NBNS Request
• Drop SSH connection after auth— Скинути SSH підключення після авторизації
• SMB Hijack -> SMB Relay
• Auto ARP Poison— У режимі автоматичного пойзона достатньо внести лише 1 хост до списку цілей, а Intercepter сам скануватиме мережу з певним інтервалом і автоматично додаватиме нові цілі.
• Reset ARP Table— Скинути таблицю ARP
• Custom payload for SMB Hijack (64kb max)
• Custom payload for GP Hijack
• Run Shell- Запустити шелл
• Run HTTP NTLM Grabber

Види сканування

Сканування є першою стадією, т. Е. Багато MiTM атаки починаються з нього. Щоб показати меню сканувань, перейдіть у вкладку MiTM Modeта натисніть праву кнопку миші на таблиці.

• Smart Scanning: воно комбінує ARP сканування та виявлення шлюзу. До звичної інформації про IP та MAC адресаах, виробнику мережевої карти та операційній системі, робиться висновок імені комп'ютера. За той же проміжок часу тепер додатково можна дізнатися про ім'я Netbios або назву пристрою під керуванням iOS. Для резольва останнього використовується протокол MDNS, на основі якого працює Apple"івський протокол Bonjour. Всі отримані імена тепер зберігаються в кеш-файл і якщо при подальших скануваннях з якоїсь причини інформація про ім'я хоста не була отримана динамічно, то вона буде взята з кеша У додатку це сканування показує Stealth IP і автоматично встановлює у відповідних полях у вкладці MiTM IP шлюзу (якщо він був виявлений) і Stealth IP, також виконується виявлення ОС на основі TTL значень.
• ARP Scanning(ARP сканування): просто перевіряє підмережу C-класу призначену на вибраний ethernet адаптер. Наприклад, якщо ваш IP це 192.168.0.10, то буде перевірено 255 IP-адрес в діапазоні 192.168.0.1-255. Починаючи з версії 0.9.5 програма перевіряє мережну маску для правильного сканування всіх підмереж.
• DHCP Discovering(Виявлення DHCP): надсилає широкомовні повідомлення DHCP-Discovery і чекає відповіді від DHCP серверів. Якщо якісь сервери відповідають, додає їх до списку.
• Promisc Detection(Виявлення мережевих картв нерозбірливому режимі): надсилає до мережі спеціальні ARP запити. Хости, що відповідають, очевидно є сніфферами. Також можуть відповідати деякі ethernet карти (3COM), тобто можливі помилкові спрацьовування.
• Gateway Discovering(виявлення шлюзу): відправляє SYN пакет через всі хости в мережі, якщо є шлюз, назад буде надіслано відповідь.

Техніки атак людина-посередині (MiTM) у Intercepter-NG

При натисканні на кнопку Configure MiTMs(капелюх з оком) відкривається діалогове вікно MiTM Attacks:

Воно містить перелік підтримуваних технік.

SSL MiTM

Є старою класичною технікою заміни сертифікатів. Дозволяє перехоплювати дані будь-якого протоколу, захищеного за допомогою SSL. Стандартно підтримуються: HTTPS, POP3S, SMTPS, IMAPS. Опційно можна вказати будь-який додатковий порт.

При перехопленні HTTPS, сертифікати генеруються «на льоту», копіюючи оригінальну інформацію із запитуваного ресурсу. Для інших випадків використовується статичний сертифікат.

Звичайно, при використанні даного функціоналу неминучі попередження браузера та іншого клієнтського програмного забезпечення.

В нової версіїбуло повністю переписано код для SSL MiTM. Тепер він працює швидко та стабільно. Також змінився алгоритм генерації сертифікатів, в них стали додаватися додаткові записи dns і всі сертифікати підписуються єдиним ключем ( misc\server). Це означає, що додавши цей самопідписаний сертифікат до списку довірених на комп'ютері мети, можна буде прослуховувати трафік SSL до будь-якого ресурсу (де немає SSL Pinning). Функція Cookie Killerтепер працює і для з'єднань SSL. З'явилися чорні ( misc\ssl_bl.txt) та білі списки ( misc\ssl_wl.txt). У них можна виключити або навпаки жорстко вказати IP-адреси або домени, до яких слід або не застосовувати SSL MiTM. При вказівці extra ssl port більше не потрібно вказувати тип read\write, достатньо вказати номер порту. Весь трафік пишеться у ssl_log.txt.

SSL Strip

SSL Strip - "тиха" техніка для перехоплення HTTPS з'єднань. Довгий час робоча версіяіснувала тільки під unix, тепер такі дії можна проводити і в середовищі NT. Суть у наступному: атакуючий знаходиться «посередині», аналізується HTTP трафік, виявляються всі https:// посилання та проводиться їх заміна на http:// Таким чином клієнт продовжує спілкуватися із сервером у незахищеному режимі. Всі запити на замінені посилання контролюються та у відповідь доставляються дані з оригінальних https джерел.

Т.к. ніяких сертифікатів не підміняється, то й попереджень немає. Для імітації безпечного з'єднання здійснюється заміна іконки favicon.

DNC<>ICMP

Це абсолютно нова техніка, що раніше згадується або не реалізована. Вона ґрунтується на тому ж старому ICMP Redirect MiTM, але відкриває новий спосібдля сніфінгу даних. Перший крок цієї атаки схожий на класичний ICMP редирект, але є одна важлива відмінність.

Так званий "новий запис" - це DNS сервер жертви. Ми збираємося захопити контроль над усіма запитами DNS і зробити деяку магію перед тим, як жертва отримає відповіді.

Коли ми перетворюємо (резолвімо) somehost.com, DNS надсилає нам відповідь, що містить одну або більше відповідей з IP somehost.com. Більше того, він може містити "додаткові" відповіді, і ми збираємось подбати також і про них. Після завершення першої частини атаки жертва починає відправляти всі DNS запити через хост атакуючого (NAT). Коли NAT отримує відповідь від DNS, він зчитує всі IP, а потім відправляє жертві повідомлення ICMP редиректа з перетвореним IP.

Таким чином, на момент, коли NAT відправляє DNS відповідь назад жертві, його таблиця маршрутизації вже має записи для всіх перетворених адрес, які вказують на наш хост!

Це означає, що ми скинімо не тільки DNS жертви, але все, що було перетворено. Весь трафік спуфіт через підроблений IP\MAC.

Ця частина атаки виконується на стороні NAT, тому ви повинні його правильно налаштувати.

Поставте галочку в "DNS over ICMP", потім заповніть:

• Router's IP - це IP шлюзу за умовчанням, що використовується жертвою.
• Client's IP - це IP жертви. Ви можете додати кілька цілей, але не забудьте почати з відправки з Intercepter пакету ICMP редиректу кожної мети.

Після додавання клієнтів, ви повинні помістити вільний/невикористовується IP в полі «New Gateway» і в «Stealth IP».

Виберіть адаптер, вони повинні бути такими ж, оскільки ми збираємося маршрутизувати трафік в одній ethernet області.

Запустіть NAT.

Всі DNS відповіді зберігаються в спеціальному списку і NAT регулярно (відповідно до часу, встановленого в налаштуваннях) повторно надсилає ICMP редиректи,

В кінці вам потрібно зробити ще одну дію. Ви не можете виконати «лікування» таблиці маршрутизації жертви (як при ARP травленні), тому ви повинні зняти галочку з «DNS ↔ ICMP» для запобігання повторному надсиланню ICMP редиректів і чекати приблизно 10-15 хвилин. Після цього нові записи не додаватимуться, але старі будуть чудово працювати через NAT, поки не закінчиться термін дії.

WPAD MiTM

Подробиці дивіться до опису опції WPAD Configuration (PROXY:PORT).

SMB Hijack

SSH MiTM

Ви можете перехопити дані SSH аутентифікації (логін/пароль) та бачити всі команди, які відбуваються під час віддаленої сесії. Підтримується 2 механізми аутентифікації: за паролем та інтерактивна. Для сніфінгу даних жертви нам необхідно діяти як справжній sshd, і ми надаємо наші власні ключі rsa/dsa. Якщо оригінальний ключ хоста кешується жертвою, з'явиться повідомлення з попередженням, якщо не кешується, то на клієнтській стороні не буде жодних ознак атаки.

Коли жертва залогинилася, вона може працювати як завжди, виконувати команди та псевдографічні програми, такі як midnight commander. Intercepter перехоплює запити WINDOW_CHANGE, тому якщо жертва вирішить змінити розмір вікна, все буде коректно перемальовано відповідно до нового розміру вікна.

Програма працює з віддаленим сеансом, але не працює із SFTP. Якщо жертва запустить SFTP клієнт, дані автентифікації будуть перехоплені, але з'єднання буде відкинуто і позначено. Потім, коли жертва спробує заново підключитися, вона отримає доступ до оригінального сервера ssh, крім нашого фальшивого sshd.

Необхідно згадати, що атакуючий входить на віддалений сервер і залишає його адресу IP в логах. В експертному режимі можна вибрати опцію відкидати ssh з'єднання після отримання облікових даних жертви. З'єднання буде позначено, і за наступної спроби програма дозволить доступ до оригінального сервера.

GP Hijack

Додаткові можливості при атаках людина посередині (MiTM) в Intercepter-NG

Кнопки для використання цих можливостей також розташовані у розділі MiTM Options(кубики, символ JDownloader, шприц, щит і символ радіаційної небезпеки, що окремо стоїть):

Traffic Changer (зміна текстових даних у потоці мережного трафіку)

Можна замінювати дані лише рівного розміру, не змінюючи довжину пакетів. Допустимо браузер відкриває site.com/file.txt, в якому міститься рядок "12345". У відповідь на GET запит сервер поверне HTTP заголовок, в якому буде вказана довжина даних, що передаються - Content-length: 5. Що буде якщо ми замінимо «12345» на «12356»? Браузер скачає лише 5 байт, відкинувши додану «6», а якщо ми зменшимо розмір даних, замінивши «12345» на «1234», браузер отримає лише 4 байти і чекатиме від сервера ще 1 байт доти, доки з'єднання не розірветься по таймауту. Саме тому зроблено це обмеженняна розмір. Міняти можна як текстові дані так і бінарні, синтаксис для бінарних патернів як у Сі - "x01x02x03".

Якщо потрібна заміна в HTTP трафіку, то в налаштуваннях необхідно увімкнути опцію "Disable HTTP gzip encoding".

Spoofing

Спуфінг (Spoofing) дозволяє перенаправляти хости на заданий IP. Підтримуються протоколи DNS, NBNS, LLMNR.

З DNS ви можете вказати маску, щоб перенаправляти також всі піддомени. Зазвичай встановлюються пари domain.com:IP, але субдомени не будуть спуфлені. Для перенаправлення їх додайте * (зірочку) перед ім'ям домену: *host.com

Forced Download та JS Inject

Обидва нововведення відносяться до режиму HTTP Injection. Російською Forced Download можна перекласти як «примусове закачування», адже саме це відбувається на боці мети під час web-серфінгу. При заході на сайт пропонується завантажити заданий атакуючим файл, залежно від налаштувань браузера він може самостійно завантажитись, а користувач вже вибере, запустити його чи ні.

Як ви розумієте, у форсоване завантаження можна додати і.exe файл з довільним вмістом, причому джерелом цього файлу буде сайт, який у Наразівідвідує користувач. Знаючи, що ціль збирається відкрити adobe.com, ви можете видати flashplayer.exe, і як джерело цього файлу буде вказано adobe.com або один з його субдоменів.

Після одноразової видачі форсування відключається, для повторного інжекта потрібно знову натиснути на відповідну галку.

JS Inject явно немає серед елементів управління, т.к. по суті це звичайнісінький http inject, але з однією відмінністю. При заміні одного файлу іншим, наприклад картинок.jpg на задану, відбувається саме заміна одного вмісту іншим. Заміна.js скрипта з великою ймовірністю може порушити роботу ресурсу, тому в новій версії js inject не замінює один скрипт іншим, а дописує його до існуючого, додаючи можливість впровадити додатковий код, не торкаючись оригінального.

Режим FATE поєднує дві нові функції: FAke siTE і FAke updaTE.

Ключовою метою FAke siTE служить отримання авторизаційних даних з будь-якого веб-ресурсу, в обхід SSL та інших механізмів захисту. Досягається це клонуванням сторінки авторизації та створенням шаблону, який розміщуватиметься на вбудованому псевдо-веб сервері. За умовчанням до складу інтерцептера входить один шаблон accounts.google.com, т.к. оригінальна сторінка вимагає заповнити послідовно поле з логіном, а потім з паролем. У цьому шаблоні внесено невеликі зміни, щоб обидва поля були активними одночасно. Перед атакою необхідно вказати домен, на якому розміщуватиметься шаблон. Після початку атаки, трафік мети інжектиться редирект на обраний домен і згодом інтерцептер автоматично буде проводити DNS спуфінг на необхідні адреси. У результаті браузері відкриється обрана сторінка авторизації.

Функціональність FAke updaTE (фальшиві оновлення) означає появу повідомлень про встановлене у «жертви» програмного забезпеченняі завантаження як файл оновлення, в який додано корисне навантаження. Список підтримуваного софта дуже скромний. За бажання можна додавати свої шаблони, їх структуру можна переглянути в misc\FATE\updates.

ARP Poison (ARP травлення)

Є частиною класичної атаки людина посередині. Ця атака починається зі сканування хостів. Коли хости виявлені і деякі з них обрані як ціль, то починають ARP травлення, в результаті якого хости, що атакуються, починають пересилати свій трафік не шлюзу, а атакуючому. Атакуючий вивчає (сніфіт) цей трафік, виконує інші маніпуляції та відправляє його цільовому серверу. Цільовий сервер відповідає атакуючому (як джерелу запиту), цей трафік також скинеться, модифікується та пересилається жертві. В результаті для жертви не відбувається значних змін - вона ніби обмінюється даними з віддаленим сервером.

Додаткові функції Intercepter-NG

Кнопки для запуску додаткових функцій розташовані в окремій секції правого стовпця у вікні програми:

В Intercepter-NG з'явився свій мережевий сканер, який прийшов на заміну примітивному порту сканеру з минулих версією. Основні його функції:

1. Сканувати відкриті порти та евристично визначати такі протоколи: SSH, Telnet, HTTP\Proxy, Socks4\5, VNC, RDP.
2. Визначати наявність SSL на відкритому портучитання банери та різні веб-заголовки.
3. При виявленні проксі або соксу, перевіряти їхню відкритість назовні.
4. Перевірити безпарольний доступ до серверів VNC, перевіряти SSL на HeartBleed. Читати version.bind у DNS.
5. Перевіряти на основі наявність скриптів на веб-сервері, потенційно вразливих до ShellShock. Перевіряти по базі список директорій та файлів на 200 OK, а також список директорій з robots.txt.
6. Визначати версію ОС через SMB. За наявності анонімного доступу отримувати локальний час, uptime, список загальних ресурсів та локальних користувачів. Для знайдених користувачів запускається автоматичний перебір паролів.
7. Визначати вбудований список користувачів SSH через замір часу відгуку. Для знайдених користувачів запускається автоматичний перебір паролів. Якщо енумерація не дала результату (не працює на всіх версіях), перебір запускається тільки для root.
8. Автоматичний брутфорс для HTTP Basic та Telnet. З огляду на особливості telnet протоколу можливі помилкові спрацьовування.

Сканувати можна будь-які цілі, як у локальній мережі, так і в інтернеті. Можна вказати список портів для сканування: 192.168.1.1:80,443 або діапазон 192.168.1.1:100-200. Можна вказувати діапазон адрес для скана: 192.168.1.1-192.168.3.255.

Для більш точного результату одночасно можна сканувати тільки 3 хоста. Буквально в останній момент були додані перевірки на дані з SSL сертифікатів, наприклад, якщо зустрічається слово Ubiquiti і при цьому відкритий 22 порт, то автоматично запускається брутфорс SSH користувача ubnt. Те саме для пари Zyxel залізок з користувачем admin. Для першого релізу сканера функціоналу достатньо, і він непогано налагоджений.

HeartBleed Exploit

Тестує, чи вразлива мета до HeartBleed. Якщо ціль уразлива, то експлуатує цю вразливість — отримує частину вмісту. оперативної пам'ятівіддаленого хоста.

Bruteforce Mode

Підтримується атака грубою силою (брут-форс, повний перебір) для наступних мережевих протоколів:

• POP3 TLS
• SMTP TLS
• HTTP Basic
• HTTP Post
• TELNET
• VMWARE

Можна встановити кількість потоків, в яку будуть перевірятися облікові дані.

При виникненні таймауту, активний тред перезапускається з того самого місця і процес перебору триває.

Є Single Mode, який вказує на те, що кожну нову пару логін: пароль слід перевіряти з установкою нового з'єднання, для деяких протоколів це дозволяє збільшити швидкість роботи. Лог роботи зберігається в brute.txt.

ARP функції

Крім ARP травлення та ARP сканування, є кілька інших функцій, пов'язаних із протоколом ARP. Дві з них винесені в окремі кнопки правого стовпця у вікні програми:

• ARP Watch: будована персональна служба спостереження за ARP Потрібно почати з виконання ARP сканування для заповнення списку довірених (чистих) MAC адрес. Якщо хтось спробує труїти ваш arp кеш, з'явиться повідомлення з попередженням.
• ARP Cage: ізолює цільову IP адресу від інших локальних хостів за допомогою спуфінгу записів arp таблиці

Приклади запуску Intercepter-NG

Як запустити MiTM в Intercepter-NG

Почніть із вибору мережевого адаптера (Network Adapter):

Клацніть правою кнопкоюпо порожній таблиці та виберіть Smart Scan:

Буде відображено список цілей:

Додайте потрібні як цілі ( Add as Target):

Для початку сніфінгу натисніть відповідну іконку:

Перейдіть на вкладку MiTM mode(це глобус з патч-кордами) та натисніть іконку ARP Poison(Символ радіаційної небезпеки):

У вкладці Password Mode(символ - зв'язка ключів), з'являтимуться захоплені облікові дані:

Робота з Wi-Fi та робота з Ethernet

При роботі з Wi-Fi або дротовими з'єднаннями відсутні будь-які відмінності, але вам потрібно перейти на потрібний режимклікнувши іконку:

Офлайн аналіз pcap файлів захоплення

Існує багато опцій, які можуть уповільнити або прискорити час аналізу.

1. Для початку, якщо вам потрібно прочитати великий файл.pcap, то вимкніть опцію " Resolve".
2. Якщо ваш.pcap містить великі файлита Resurrection включена, швидкість може впасти. Рішенням є встановлення ліміту на максимальний розмір файлу для відновлення.
3. Якщо вам не потрібно щось реконструювати, тоді в налаштуваннях відключіть цю опцію. Швидкість збільшиться.
4. Якщо вам потрібно проаналізувати лише специфічний протокол, наприклад, ICQ\AIM або тільки HTTP, то встановіть відповідний фільтр. pcap filter" з RAW MODE: tcp port xxx, де xxx- Це номер порту вашого протоколу.
5. Ви можете завантажити більше одного захоплення для аналізу. В Open DialogВиберіть кілька файлів, всі вони будуть проаналізовані по черзі.

Встановлення Intercepter-NG

Встановлення в Linux Kali

Для встановлення та запуску Intercepter-NG в Kali Linuxвиконайте такі команди:

Wget https://github.com/intercepter-ng/mirror/blob/master/wine_pcap_dlls.tar.gz?raw=true -O wine_pcap_dlls.tar.gz sudo apt install libpcap-dev sudo dpkg --add-architecture i386 sudo apt update sudo apt install wine32 sudo apt install tcpdump:i386 wine --config tar xvzf wine_pcap_dlls.tar.gz sudo cp wpcap/wpcap.dll.so /usr/lib/i386-linux-gnu/wine sudo c. dll.so /usr/lib/i386-linux-gnu/wine rm -rf wine_pcap_dlls.tar.gz wpcap/ packet/ sudo apt install winetricks winetricks cc580 sudo ethtool --offload eth0 rx off tx off # Завантажити 0 і видаляємо dll файли wpcap.dll та Packet.dll: wget https://github.com/intercepter-ng/mirror/blob/master/Intercepter-NG.v1.0.zip?raw=true -O Intercepter-NG .zip unzip Intercepter-NG.zip rm wpcap.dll rm Packet.dll sudo wine Intercepter-NG.exe

Встановлення у Windows

Для встановлення Intercepter-NG у Windows перейдіть на та завантажте відповідний архів (без літер CE). Програма не вимагає установки, достатньо розпакувати архів та запустити файл .exe.

Встановлення в Android

Для встановлення Intercepter-NG в Android перейдіть на та завантажте файл apk. Для успішного запуску програми потрібні root-права.

Скріншоти Intercepter-NG

Багатофункціональна програма дозволяє розпізнавати всі пристрої в громадській мережі, визначати IP- і MAC-адреси пристроїв, перехоплювати трафік і підміняти файли, що завантажуються. Досвідченому користувачеві нічого не буде прочитати чуже листування по email і зайти в аккаунт соціальної мережі за допомогою цієї утиліти.

Характеристика

Як було зазначено вище Intercepter-NG є програмою для, можна сказати, несанкціонованої взаємодії з іншими пристроями. У пару кліків ви зможете визначити IP-адресу та Mac-адресу пристрою, перехопити трафік і файли Cookies, прочитати чуже онлайн-листування або зайти в чужий аккаунт у соціальній мережі, щоб виконати свої «брудні» справи.

Досвідчені користувачі запевняють, що програма робоча, і при підключенні до однієї точки доступу Wi-Fiможна перехоплювати чужий трафік.

Особливості

По-перше, потрібно мати мінімальні знання. У програмі немає інструкцій, довідників, режимів навчання. Відповідну інформацію потрібно шукати на тематичних форумах.

По-друге, для функціонування утиліти необхідно отримати права суперкористувача. Пам'ятаючи про ризики, які таке рішення несе, важливо зважити всі за і проти. А наважившись отримати рут-права, обов'язково завантажити та встановити утиліту-менеджер прав доступу, за допомогою якої можна в режимі реального часу контролювати доступ додатків до прав супер-користувача.

Intercepter-NG дозволить визначити MAC-адресу та IP-адресу будь-якого користувача, підключеного до громадської мережі. Також за допомогою програми можна перехоплювати файли cookie, вихідний та вхідний трафік з незаконною метою.

Характеристики

Intercepter-NG - багатофункціональна програма, яка в умілих рукахперетворюється на інструмент для здійснення незаконних операцій. По-перше, з її допомогою можна розпізнавати всі пристрої, підключені до мережі. Серед даних надається не тільки IP-адреса, але також унікальна MAC-адреса пристрою.

По-друге, програма дозволяє перехоплювати двосторонній трафік обраного користувача, переглядаючи, використовуючи і навіть заміняючи файли. Оскільки у програмі немає докладних інструкційз використання функціоналу, необхідно мати мінімальні знання. У цьому випадку ви не тільки дізнаєтеся IP або мак-адресу, але також зможете просто перехоплювати файли куки, щоб читати чуже листування і навіть робити дії від імені користувача.

Особливості

• Root доступ. У пристрої повинні бути рут-права, щоб користуватися всім функціоналом програми.
• Можливість дізнатися IP та MAC-адресу будь-якого користувача, який користується тією ж точкою доступу, що й ви.
• Можливість перехоплювати файли cookie для читання листування, дії з акаунтами.
• Можливість перехоплювати вихідний та вхідний трафік, замінювати файли.

Мінімалістичний інтерфейс та стабільна робота – ще пара особливостей програми, які роблять його популярним у вузьких колах.

Привіт друзі.

Як обіцяв, продовжую про програму Intercepter-ng.

Сьогодні вже буде огляд на практиці.

Попередження: змінювати налаштування або бездумно натискати настройки не варто. У кращому випадку може просто не працювати або ви повісите Wi-Fi. А у мене був випадок, що скинулися налаштування роутера. Так що не думайте, що все нешкідливо.

І навіть при таких же налаштуваннях як у мене не означає, що все буде гладко працювати. У будь-якому разі для серйозних справ доведеться вивчати роботу всіх протоколів та режимів.

Почнемо?

Перехоплення кукі та паролів.

Почнемо з класичного перехоплення паролів і куки, в принципі процес як у статті, але перепишу його заново, з уточненнями.

Антивіруси до речі часто можуть курити такі штуки і зводити перехоплення даних по Wi FI

Якщо жертва сидить на android або IOS пристрої, ви можете задовольнятися лише тим, що жертва вводить лише в браузері (паролі, сайти, куки) якщо жертва сидить із соціального клієнта для вк, тут вже виникають проблеми, вони просто перестають працювати. В останньої версії Intercepter NG можна вирішити проблему, замінивши жертві сертифікат. Про це докладніше буде пізніше.

Спершу взагалі визначитеся, що вам необхідно отримати від жертви? Може вам потрібні паролі від соціальних мереж, А може просто від сайтів. Може вам достатньо кукі щоб зайти під жертвою і відразу зробити, або вам необхідні паролі для майбутнього збереження. А вам необхідно аналізувати надалі зображення переглянуті жертвою і деякі сторінки, чи вам не потрібен цей мотлох? Ви знаєте, що жертва вже увійшла на сайт (при переході вже авторизована) або ще тільки вводитиме свої дані?

Якщо немає необхідності отримувати картинки з відвідуваних ресурсів, частини медіафайлів і бачити деякі сайти, збережені в файл htmlвимкніть у Settings - Ressurection. Це трохи зменшить навантаження на роутер.

Що можна активувати в Settings — якщо ви підключені через ethernet кабель, потрібно активувати Spoof Ip/mac. Також активуйте Cookie killer (допомагає скинути куки, щоб у жертви вийшло з сайту). Cookie killer відноситься до Атаки SSL Strip тому не забуваємо активувати.

Так само краще, якщо буде активовано Promiscious (безладний режим), який дозволяє покращити перехоплення, але не всі модулі його підтримують... Extreme mode (екстримальний режим) можна обійтися без нього. З ним часом перехоплює більше портів, але з'являється і зайва інформація.

По-перше вибираємо зверху інтерфейс через який ви підключені до інтернету та тип підключення Wi-fiабо Ethernet якщо підключені через кабель до роутера.

У режимі Scan Mode правою кнопкою миші по порожньому полю та натискаємо Smart scan. Відскануються всі пристрої мережі, залишилося додати потрібні жертви в Add nat.

А можна і поставити один будь-який IP, перейти в settings - expert mode і поставити галочку на Auto ARP poison, в такому разі програма додаватиме кожного, хто підключений і підключиться до мережі.

Нам залишається перейти до Nat mode.

Натискаємо configure mitms, тут нам знадобиться SSL mitm та SSL strip.

SSL mitmдозволяє займатися перехопленням даних, хоча і на нього реагують багато браузери попереджаючи жертву.

SSL Stripдозволяє щоб у жертви перемикалося з Https захищеного протоколу на HTTP, а також щоб працював cookie killer.

Більше нам нічого не потрібно, тиснемо start arp poison (значок радіації) і чекаємо активності жертви.

У розділі password mode натисніть пкм та Show coolies. Потім можна на cookie натискати пкм і перейти на full url.

До речі, якщо жертва сидить у соціальних мережах є можливість що його активне листування з'явиться в Messengers mode.

Http inject (підсунути жертві файл).

Ммм, досить солодка опція.

Можна підсунути жертві, щоб вона завантажила файл. Нам залишається сподіватися, що жертва запустить файл. Для правдоподібності, можна проаналізувавши які сайти відвідує жертва, підсунути щось на зразок оновлення.

Наприклад, якщо жертва на VK назвіть файл vk.exe . можливо жертва запустить вирішивши що це корисне що.

Приступимо.

Bruteforce mode.

Режим перебору та підбору паролів паролів.

Один із способів застосування - брут доступу до адмінки роутера. Також деяких інших протоколів.

Для бруту необх

У Target server вбиваєте ip роутера, протокол telnet, username - ім'я користувача, у разі Admin .

Внизу є кнопка на якій намальована папка, ви натискаєте на неї і відкриваєте список паролів (у папці з програмою, misc/pwlist.txt є список паролів, що часто використовуються, або можна свій список використовувати).

Після завантаження натискає старт (трикутник) та йдемо пити чай.

Якщо знайдуться збіги (підбереться пароль) то програма зупиниться.

знати ім'я користувача. Але якщо ви хочете отримати доступ до роутера, спробуйте стандартний — admin.

Як зробити брут.

Traffic changer (підміна трафіку).

Функція швидше заради жарту. Можна змінити, щоб жертва вводячи один сайт, переходила на інший який ви введете.

У traffic mode ліворуч вводимо запит, праворуч результат, але з такою ж кількістю літер та символів, інакше не спрацює.

Приклад - ліворуч заб'ємо змінний запит, праворуч - test1 змінюємо на test2. (Поставте галочку на Disable HTTP gzip).

Після введення натисніть ADD, а потім OK.

Насамкінець відео, як перехоплювати дані з IOS з клієнтів, адже як відомо при Mitm атаці у них просто перестають працювати програми.

Незабаром зніму відео про написане у статті.

Це було перехоплення даних по Wi FI.

Ось у принципі і все. Є що доповнити - пишіть, є що підправити так само пишіть.

До нових зустрічей.

Що таке Intercepter-NG

Розглянемо суть функціонування ARP на простому прикладі. Комп'ютер А (IP-адреса 10.0.0.1) та комп'ютер Б (IP-адреса 10.22.22.2) з'єднані мережею Ethernet. Комп'ютер А хоче переслати пакет даних на комп'ютер Б, IP-адреса комп'ютера Б йому відомий. Проте мережа Ethernet, якої вони з'єднані, не працює з IP-адресами. Тому комп'ютера для здійснення передачі через Ethernet потрібно дізнатися адресу комп'ютера Б в мережі Ethernet(MAC-адреса в термінах Ethernet). Для цього завдання використовується протокол ARP. За цим протоколом комп'ютер А надсилає широкомовний запит, адресований усім комп'ютерам в одному з ним домену. Суть запиту: «комп'ютер з IP-адресою 10.22.22.2, повідомте свою MAC-адресу комп'ютеру з МАС-адресою (напр. a0:ea:d1:11:f1:01)». Мережа Ethernet доставляє цей запит усім пристроям у тому ж сегменті Ethernet, у тому числі й комп'ютеру Б. Комп'ютер Б відповідає комп'ютеру А на запит і повідомляє свою MAC-адресу (напр. 00:ea:d1:11:f1:11) Тепер, отримавши MAC-адресу комп'ютера Б, комп'ютер А може передавати будь-які дані через мережу Ethernet.

Щоб не було необхідності перед кожним надсиланням даних задіяти протокол ARP, отримані MAC-адреси та відповідні їм IP адреси записуються в таблиці на деякий час. Якщо потрібно надіслати дані на той же IP, то немає необхідності щоразу опитувати пристрої у пошуках потрібного MAC.

Як ми тільки що побачили, ARP включає запит і відповідь. MAC-адреса з відповіді записується до таблиці MAC/IP. При отриманні відповіді він не перевіряється на справжність. Більше того, навіть не перевіряється, чи було зроблено запит. Тобто. на цільові пристрої можна надіслати відразу ARP-відповідь (навіть без запиту), з підміненими даними, і ці дані потраплять до таблиці MAC/IP, і вони будуть використовуватися для передачі даних. Це і є суть атаки ARP-spoofing, яку іноді називають ARP травленням, ARP кешу.

Опис атаки ARP-spoofing

Два комп'ютери (вузла) M і N в локальній мережі Ethernet обмінюються повідомленнями. Зловмисник X, що знаходиться в цій мережі, хоче перехоплювати повідомлення між цими вузлами. До застосування атаки ARP-spoofing на мережному інтерфейсі вузла M ARP-таблиця містить IP та MAC адресу вузла N. Також на мережному інтерфейсі вузла N ARP-таблиця містить IP та MAC вузла M.

Під час атаки ARP-spoofing вузол X (зловмисник) відсилає дві ARP відповіді (без запиту) - вузлу M та вузлу N. ARP-відповідь вузлу M містить IP-адресу N та MAC-адресу X. ARP-відповідь вузлу N містить IP адресу M і MAC-адреса X.

Оскільки комп'ютери M і N підтримують мимовільний ARP, то після отримання ARP-відповіді вони змінюють свої ARP таблиці, і тепер ARP-таблиця M містить MAC адресу X, прив'язану до IP-адреси N, а ARP-таблиця N містить MAC адресу X, прив'язаний до IP-адреси M.

Тим самим атака ARP-spoofing виконана, і тепер всі пакети(кадри) між M і N проходять через X. Наприклад, якщо M хоче передати пакет комп'ютеру N, то M дивиться в свою ARP-таблицю, знаходить запис з IP-адресою вузла N, вибирає звідти MAC-адресу (а там уже MAC-адресу вузла X) і передає пакет. Пакет надходить на інтерфейс X, аналізується ним, після чого перенаправляється вузлу N.

Принтери