Come dire se sei stato avvelenato da ARP?

16

Ho alcuni problemi al lavoro e c'è un nuovo amministratore di rete sul posto. Penso di essere monitorato, quindi ho deciso di eseguire ArpSpy X in due scenari:

  1. Il bridge WiFi collegato al router Cisco ha preso nota dell'indirizzo IP e MAC del router. Poi ho fatto una ricerca del venditore e si presenta come un router Cisco (che dovrebbe), ma ho anche un'altra voce Mac per lo stesso IP (l'IP del router) di FF:FF:FF:FF:FF .
  2. Quindi attraverso Hardwired via Ethernet vedo solo l'indirizzo FF:FF.... per l'IP del router.

Al momento utilizzo solo la rete tramite VPN (OpenVPN) verso un provider VPN esterno per sicurezza.

Qualcuno può dirmi se il doppio indirizzo MAC via cavo e il singolo FF:FF:FF.... è normale o sono solo paranoico?

    
posta user20214 31.01.2013 - 02:21
fonte

4 risposte

23

FF: FF: FF: FF: FF: FF è l'indirizzo MAC di trasmissione ed è associato con indirizzo IP broadcast nella tabella ARP (comando arp -a ). Qualcuno potrebbe avvelenarti ma potresti aver scambiato l' indirizzo IP broadcast per l' indirizzo IP del gateway .

Qui ci sono strumenti che forniscono sicurezza ARP avvisando o bloccando gli attacchi:

  • XArp : rilevamento spoofing ARP avanzato, sondaggi attivi e verifiche passive. Due interfacce utente: visualizzazione normale con livelli di sicurezza predefiniti, vista pro con configurazione per interfaccia di moduli di rilevamento e convalida attiva. Windows e Linux, basati su GUI.
  • Snort : Snort preprocessore Arpspoof , rileva lo spoofing dell'arp.
  • Arpwatch : il programma di monitoraggio ethernet; per tenere traccia delle coppie di indirizzi ethernet / ip,
  • ArpON : demone di handler portatile per la protezione di ARP contro lo spoofing, l'avvelenamento della cache o gli attacchi di instradamento veleno in reti statiche, dinamiche e ibride.
  • Antidoto : demone Linux, mappature dei monitor, numero insolitamente elevato di pacchetti ARP.
  • Arp_Antidote : Linux Kernel Patch per 2.4.18 - 2.4.20, orologi mappature, può definire l'azione da intraprendere quando.
  • ArpAlert : Ascolta un'interfaccia di rete (senza utilizzare la modalità 'promiscua') e cattura tutte le conversazioni di indirizzo MAC su richiesta IP . Quindi confronta gli indirizzi MAC rilevati con un elenco preconfigurato di indirizzi MAC autorizzati. Se il MAC non è in elenco, arpalert avvia uno script utente predefinito con l'indirizzo MAC e l'indirizzo IP come parametri. Questo software può essere eseguito in modalità deamon; è molto veloce (basso consumo di CPU e memoria). Risponde al segnale SIGHUP (configurazione ricarica) e ai segnali SIGTERM, SIGINT, SIGQUIT e SIGABRT (arpalert si arresta)
  • ArpwatchNG : monitora gli indirizzi mac sulla rete e li scrive in un file. ultimo sapere timestamp e cambio di notifica è incluso. usalo per monitorare gli indirizzi Mac sconosciuti (e come tali, che potrebbero essere degli intrusi) o qualcuno che si scherza con il tuo arp_ / dns_tables.

link

    
risposta data 31.01.2013 - 15:50
fonte
7

Esiste anche uno script Bro che rileva passivamente lo spoofing ARP. Controlla le richieste ARP e le risposte per potenziali spoofing. Questo è il modo in cui l'autore lo descrive:

  1. An attacker using ARP spoofing as their method can either send gratuitous replies (which lie about an existing IP to MAC correspondence) or by sending many requests to one or more victims with spoofed sender hardware address and/or sender protocol address fields. This script checks for both gratuitous ARP packets which are unsolicited replies, as well as ARP requests sent many times with the same information. An attacker will need to send many of either type of spoofed packet in order to continue the attack (otherwise the victim will stop directing its traffic to an attacker-supplied location).

  2. This script leverages knowledge of DHCP transactions, a consistent state of ARP requests and replies, and other metrics in order to provide more accurate information regarding potential attacks. For an attacker to deny a victim service or to initiate a MITM attack, the attacker will need to provide a spoofed MAC address of the victim's gateway. In order to maintain a continuing attack, the attacker will send many spoofed packets, which can be counted. It is possible that these spoofed packets will change IP to MAC mappings, which can be detected as well.

Attualmente si trova in un repository github separato , ma alla fine ci integreremo nel master.

    
risposta data 31.01.2013 - 17:03
fonte
4

Il modo migliore e più affidabile, se hai familiarità con il networking, è avviare una copia di wireshark e cercare richieste sospette.

Puoi anche guardare una semplice stampa tracciante tra te e Internet, se vedi un luppolo che non dovrebbe essere lì allora è possibile che tu venga attaccato.

Inoltre, eseguendo semplicemente il ping su tutte le macchine locali (nmap -sP 192.168.1.0/24 lo farà rapidamente) e quindi controllando la tabella ARP (arp -an) per i duplicati, è possibile rilevare l'avvelenamento ARP abbastanza rapidamente.

I seguenti collegamenti dovrebbero aiutare:

StarDotHosting

OSTalks.com

Spero che ti aiuti!

    
risposta data 31.01.2013 - 02:37
fonte
-1

Per le connessioni wireless puoi usare lo strumento della linea di comando 'arp'.

Questo strumento ha la proprietà non intenzionale di visualizzare il router nella prima riga del suo output. L'output stampato con questo ordine era apparentemente accidentale (l'ho imparato da qualcuno che presumibilmente comunicava con gli sviluppatori a riguardo), ma è affidabile.

Anche in questo caso, solo su connessioni wireless, questo comando elencherà il tuo gateway, falso o meno, nella prima riga di output. Se quella linea corrisponde al computer di qualcun altro sulla rete diverso dal router, la tabella arp è avvelenata.

    
risposta data 28.08.2016 - 08:13
fonte

Leggi altre domande sui tag