ARP spoofing

- Door middel van ARP spoofing, wordt traffic naar de gateway omgeleid via een evil person.
echte router: 00:30:48:2a:d1:59 ip 145.92.26.1
target (degene die de lul is): 00:03:93:1e:23:a0 ip: 145.92.27.41
source (degene die spooft) 00:11:22:33:44:55

- ARP spoofing
No.     Time        Source                Destination           Protocol Info
      2 0.000100    145.92.27.41          145.92.26.1           ARP      Who has 145.92.26.1?  Tell 145.92.27.41

Frame 2 (60 bytes on wire, 60 bytes captured)
    Arrival Time: Apr  6, 2005 13:47:09.917662000
    Time delta from previous packet: 0.000100000 seconds
    Time since reference or first frame: 0.000100000 seconds
    Frame Number: 2
    Packet Length: 60 bytes
    Capture Length: 60 bytes
    Protocols in frame: eth:arp
Ethernet II, Src: 00:11:22:33:44:55, Dst: 00:30:48:2a:d1:59
    Destination: 00:30:48:2a:d1:59 (145.92.26.1)
    Source: 00:11:22:33:44:55 (145.92.27.41)
    Type: ARP (0x0806)
    Trailer: 000000000000000000000000000000000000
Address Resolution Protocol (request)
    Hardware type: Ethernet (0x0001)
    Protocol type: IP (0x0800)
    Hardware size: 6
    Protocol size: 4
    Opcode: request (0x0001)
    Sender MAC address: 00:11:22:33:44:55 (145.92.27.41)
    Sender IP address: vax-41.sicilia.os3.nl (145.92.27.41)
    Target MAC address: 00:00:00:00:00:00 (00:00:00_00:00:00)
    Target IP address: 145.92.26.1 (145.92.26.1)

In bovenstaand pakketje is goed te zien hoe het ARP spoofing in zijn werk gaat, opvallend is dat in het arp pakketje het 
target address een broadcast address is, terwijl het Ethernet II frame meld dat het target mac address gewoon een host is.

- DNS
Vervolgens worden de DNS request afgevangen door de man in the middle. Een DNS request voor www.uu.nl wordt
vervangen door www.rug.nl, dit gebeurt d.m.v. een http-redirect.