Перенаправление трафика.

У тебя NAT используется в этом правиле, представляешь как он работает?

Собственно без трансляции эта схема не работала бы. В этом и вопрос, понять как оно работает поэтапно. Поясни, если не трудно.

Прочитайте ″man iptables″, там ясно написано, куда перенаправляется трафик в случае с -j REDIRECT. Откуда взялось ″telnet ya.ru 8080″?

1. iptables понятно

2. -t nat используем правило для всех пакетов устанавливающих новое соединение

3. -A PREROUTING для всех входящих пакетов

4. -p tcp --destination-port 80 протокола tcp, с запросом на 80 порт

5. -j REDIRECT --to-port 8080 перенаправлять на 8080 порт

Попробую рассширенно описать то как я понимаю: 1. Компьютер жертвы переходит на ya.ru в браузере 2. Как шлюз механизмами arpspoofing используется машина с указанным правилом iptables 3. Get-запрос ya.ru перенаправляется на 8080 порт машины злоумышленника 4. Почему у жертвы отображается ya.ru?

«Выполняет перенаправление пакетов на другой порт той же самой машины.», это делается для того, чтобы обрабатывать дамп сессии sslstrip, но почему при этом у жертвы успешно открывается ya.ru?

да, telnetn ya.ru 8080 ошибочно указал.

На 8080 висит сервис, отправляющий запросы пользователя на ya.ru:80?

А почему там что-то другое должно быть? Суть всяких NAT («подмена» порта, «подмена» реципиента и так далее) как раз в том, что пакет приходит на шлюз (пусть даже и все работает только на одной машине, все равно), подменяются порты\адреса (эти действия запоминаются), пакет передается дальше, после обработки назад в обратном порядке. Грубо говоря получается что-то вроде такой схемы.

1. Пришел пакет, источник 192.168.0.2:12345, назначение 192.168.0.1:80

2. Заменяем порт, запоминаем и отправляем дальше - пакет (после преобразований, представим что у нас три машины участвуют, но и на локалхосте все аналогично) имеет адрес источника 192.168.0.1:54321 и назначение 192.168.0.3:8080.

3. Приложение, которое слушает порт 8080 на 192.168.0.3 получает пакет, обрабатывает и шлет ответ на 192.168.0.1:54321.

4. Хост 192.168.0.1 получает пакет от 192.168.0.3, меняет адрес отправителя на свой и пересылает этот пакет на машину 192.168.0.2 (потому что он помнит что это за соединение и кому надо ответ отправить).

То есть по сути получается что 192.168.0.2 вообще не в курсе что за 192.168.0.1 что-то есть, по-этому адрес и не меняется.

Объяснение максимально упрощенное, если тебе нужно точное описание работы всего этого - погугли. Но вообще принцип в общем такой.

почему при этом у жертвы успешно открывается ya.ru?

А это все зависит от приложения, которое там у тебя 8080 слушает - может оно просто трафик дампит и пересылает на ya.ru, просто как посредник.

Потому что sslstrip является прозрачным proxy. Она обрабатывает получаемые запросы, по заголовку GET определяет куда нужно подключится и какую странцу загрузить.

Спасибо.

Спасибо, именно не знание работы sslstrip ввело меня в заблуждение. Видимо именно она перенаправляет трафик в нужном направлении.