[HACK] Anti-ettercap

[Juan Otero]

>
> lo mejor es estos casos... es un switch *bien configurado*.
>
> Esta claro que el metodo que explicas nos permite sniffar paquetes en redes con
> switches, pero hay muchos tipos de switches y muchos modos de switching. Por
> ejemplo, los switches de Cisco permiten asignar a cada puerto una o varias MACs,
> y cualquier paquete procedente de una MAC que no se corresponda al puerto
> asignado sera descartado. Dependiendo de la configuracion, no solo sera
> descartado el paquete si no que incluso podria ser desactivado todo el trafico
> del puerto hasta que el administrador del switch lo volviera a habilitar.
>

    No quiero polemizar sobre el tema, pero si has leido el modo de funcionamiento
del dsniff, el switch no puede hacer nada : el atacante envía un ARP a la víctima
informándole de que él es su router por defecto, a partir de ahí la víctima enviará
al atacante todos los paquetes que se dirijan al exterior de la red. A nivel de MAC
todo es correcto y transparente como si la conversación fuese entre ambos equipos.

    El remedio pasa por bloquear las rutas en todos los clientes, impidiendo el
aprendizaje de nuevas rutas por ARP. Alguien sabe cómo hacer esto en Windows? En
nuestra red ha sucedido a veces que máquinas Unix han publicado rutas por ARP
descontroladamente, y prácticamente todos los PCs de la red las aprenden, perdiendo
su auténtico dispatcher de red.

    Saudiños.