Il rilevamento / la prevenzione dello spoofing ARP sembra essere molto popolare qui. Con altre tecniche come rubare il porto a parte, mi chiedo se quanto segue potrebbe funzionare per impedirlo:
Ogni volta che la mia workstation Linux ottiene la connessione di rete, posso aggiungere automaticamente una voce ARP statica designata con l'indirizzo MAC del gateway predefinito così come ottenuto in quel momento. (Presumibilmente, le schede NIC gateway non cambiano solo i loro MAC in seguito.)
Implementato come qualcosa del seguente script che può essere messo in /etc/network/if-{up,down}.d
su un GNU / Linux basato su Debian (o in /etc/NetworkManager/dispatcher.d
ovunque sia usato che ):
#!/bin/sh
# If not Debian, account for NetworkManager's dispatcher.d
IFACE="${IFACE:-$1}" MODE="${MODE:-$2}"
# Support eth/wlan/wwan interfaces
case "$IFACE" in en*|eth*|wl*|ww*) ;; *) exit 0; esac
neighbors="/run/ifup.$(basename "$0").$IFACE"
case "$MODE" in
start|*up*)
sleep 6
arp -an -i "$IFACE" | cut -d' ' -f 2,4 | tr -d '()' > "$neighbors"
while read host hwaddr; do arp -s $host $hwaddr; done < "$neighbors"
;;
stop|*down*)
[ ! -f "$neighbors" ] && exit 0
while read host _hwaddr; do arp -d $host; done < "$neighbors"
rm "$neighbors"
;;
esac
Suppongo che ci sia una condizione di competizione subito dopo aver stabilito la connessione, ma a parte questo, per proteggere il MAC del gateway predefinito se non altro, qualcosa di leggero come questo funziona e funziona abbastanza bene da impostarlo e dimenticarlo? Avrebbe ostacolato il roaming WiFi? Ci sono altre considerazioni?