# ПРАКТИЧЕСКАЯ РАБОТА №8. MITM. Атака посредника <details><summary>Общая Схема: </summary>  --- </details> ## MITM Задача злоумышленника состоит в том, чтобы запутать устройства внутри сети, показав себя для дургих клиентских устройств хостом, при это для роутера данный маневр будет виден как отправка одному хосту на один интерфейс, но на разные адреса идет трафик. Между атакующим и жертвой идет https трафик, с сертификатом, который был подписан самим атакующим, а до серверов идет http трафик. Однако, современные браузеры замечают подлог и странные сертификаты, использовать встроенный функционал подлога ssl сертификата от ettercap удалось, а старые скрипты очень плохо справились с задачей. В итоге получается сносная картина. Если посмотрим pcap файл, то ваершарк будет жаловаться на то, что новый фрагмент повторяет старый и это знак того, что все сделано правильно. На роуетре и машине атакуемого все выглядит хорошо, главное подождать некоторое время после появления новых ssl сертификатов. Так же [существует](https://habr.com/ru/articles/176693/) Intercepter-NG, который позволяет перехватывать ssh сессии, если версия ssh сервера устарела; вот возможная [цель](https://www.shodan.io/host/5.181.252.143) для подобной атаки. В целом, реализовать ее несложно с помощью готовых программ, но все же <details><summary>Подробнее: </summary> Взятый через tcpdump пикап (наполовину черный)  --- Слева начало трассировки и arp -a, а справа мак злоумышленника  --- Нормальная ARP таблица  --- Аномальная ARP таблица  --- Ошибка сертификата  --- Нет ошибки  --- Перехват трафика через tcpdump  --- </details>