Questo tipo di attacco da avvelenamento ARP è possibile?

Mi sembra plausibile, anche se gli attacchi denial-of-service della rete locale sono rari semplicemente perché il dispositivo che causa l'infrazione può essere facilmente scollegato.

Oltre a visualizzare traffico ARP casuale, è molto più probabile che venga visualizzato un dispositivo configurato per Proxy ARP , basta rubare tutto il traffico di rete. Questo è un attacco ancora più semplice da montare poiché la maggior parte dei router ha già la funzionalità già integrata.

Ma ancora una volta, è raro vedere attacchi DOS su reti locali; di solito si tratta di errori di configurazione.

MODIFICA: in risposta a ulteriori domande:

I pacchetti ARP contengono il MAC del mittente, il MAC di destinazione e l'indirizzo IP di destinazione (più un po 'di contabilità). Come con tutti i pacchetti di rete, ogni ultimo bit può essere falsificato. Supponendo che nulla sia dannoso, avrai almeno l'indirizzo MAC del mittente, i primi pochi dei quali sono specifici del fornitore e che puoi cercare per determinare il fornitore che ha realizzato la scheda di rete. Questo potrebbe aiutare a identificare il dispositivo. Certo, può essere falsificato, quindi non fare affidamento su di esso.

Per quanto riguarda le reti WiFi, le reti "aperte" non crittografate sono un qualcosa di "tutto va bene" per quanto riguarda la sicurezza, quindi non è quasi inutile proteggerlo. Tuttavia, se è abilitata qualsiasi forma di crittografia, i singoli client possono solo comunicare con il router, non peer-to-peer, il che significa che il router può filtrare i disturbi in questo modo.

Questo è in realtà chiamato inondazione ARP. Un sistema infetto / utente malintenzionato invia risposte ARP a tutti i sistemi connessi alla rete, riempiendoli con voci ARP errate. Ciò impedisce ai sistemi di risolvere gli indirizzi MAC e IP, impedendo ai sistemi di connettersi ad altri sistemi nella rete.

Per rispondere alla domanda "quali contromisure sono disponibili", l'autenticazione dot1x è probabilmente il modo migliore per proteggere il livello fisico della rete. Ciò impedirà questi tipi di attacchi fisici e di livello data-link richiedendo agli host di autenticarsi sulla rete prima che questi possano trasmettere i dati. Il commutatore vedrà ancora gli indirizzi mac cattivi provenienti dall'attaccante ma non raggiungeranno nessun altro switch o altri host sulla rete in modo che il danno che può essere fatto si riduca significativamente. cioè non assumere il gateway predefinito per eseguire MITM, ecc.

Per prevenire gran parte di ciò, è possibile filtrare il numero di indirizzi mac consentiti per essere registrati su una porta switch. Cisco chiama questa sicurezza della porta, HP e Juniper hanno equivalenti. Limitando il numero di indirizzi mac che possono essere elencati in una tabella di indirizzi mac (e chiudendo la porta in risposta a troppi) è possibile fermarlo prima che sfugga di mano.

Un'altra opzione (se il dispositivo è un componente critico) consiste nell'utilizzare il comando mac-address-table static su uno switch cisco. Ciò impedirebbe allo switch di registrare un altro indirizzo mac per il dispositivo. In combinazione con questo, è possibile impostare una voce ARP statica per prevenire l'avvelenamento dell'arp (almeno per il gateway adiacente) che può essere distribuito tramite GPO in Windows o in Linux tramite hook DHCP. Le voci arp statiche hanno la precedenza su quelle ricevute dinamicamente.

Sul wireless, non ci si può davvero fidare dell'arp del gateway, la prima volta che si è su una rete, quindi, se possibile, codificherò con decisione l'indirizzo mac del gateway nella mia tabella arp.

Avvertenze: quando stai facendo questo genere di cose ci sono ragioni legittime per avere un indirizzo mac che galleggia intorno. Ambienti in cluster, guest VMWare, laptop che si spostano. Fai attenzione ai timeout della tabella di indirizzo arp e mac. Impostarli su un valore basso in questo caso può sicuramente aiutare, sebbene aumenti marginalmente il traffico di rete.