ARP spoofing (ARP Cache poisoning) — это атака, используемая для прослушивание сети, построенная на коммутаторах. Суть этой атаки в следующем…
Злоумышленник посылает ложные ARP-пакеты. Для того, чтобы убедить компьютер жертвы в том, что прослушивающий компьютер и есть конечный адресат. Далее пакеты с компьютера жертвы перехватываются и пересылаются реальному получателю. Mac-адрес отправителя подменяется, чтобы пакеты тоже шли через прослушанный компьютер.
ARP spoofing — человек по середине
Прослушивающий компьютер становиться «шлюзом» для трафика жертвы. И злоумышленники получают возможность прослушивания трафика, осуществляя атаку «человек по середине«. Стоит отметить, что при попытке прослушать трафик нескольких активно общающихся компьютеров и соответственно возникающем при этом переполнение ARP-таблиц. Можно вызвать падение сети и этим самым вызвать обнаружение атаки.
Являясь посредником можно не только перехватывать сетевые пакеты, но и используя средства ettercap. Можно удалять или даже модифицировать их.
Отдельно стоит отметить функцию перехвата паролей идущих по зашифрованным SSH1, SSH2, SSL/HTTPS-протоколам.
Для её применения необходимо запускать специальную программу с фильтрами (например, для ssh так: ettercap -F etter.filter.ssh)
Что касается описанных атак, стоит заметить, что для успешной реализации нужно иметь доступ физически к локальной сети. Те хакеру нужно сперва взломать удалённую машину находящуюся в локальной сети. А затем с этого компьютера попытаться реализовать атаки.
Если же злоумышленник является уже сотрудником компании. То это вопрос времени, техники и знаний системного администратора.