Rileva poisioner / spoofer cache arp

È necessario acquisire e analizzare il traffico di rete utilizzando Wireshark per rilevare la fonte di attacco da avvelenamento ARP. Dai un'occhiata a questo articolo . L'idea è di usare questo filtro:

arp.duplicate-address-frame

C'è anche un'altra soluzione in questo video

Giocare con kismet - con un'antenna direzionale o un po 'di camminare intorno a te dovresti essere in grado di localizzare dove le fonti del traffico arp sono più forti - uno di loro è un utente legittimo, l'altro non così tanto.

Senza hardware ma il tuo PC (con linux), potresti

• determina il suo indirizzo mac con Wireshark e osserva la potenza del segnale con airodump-ng mentre attraversi la sala. Problema: è una sala, quindi probabilmente molto risuonante.

• controlla il venditore della sua scheda wifi (con il suo indirizzo mac) per sapere quale PC ha, anche se sicuramente ha usato il mac-changer (e anche se non l'avesse fatto ti costringerebbe a verificare tutti i produttori che ha incorporato questa specifica scheda wifi)

• Honeypot. Esegui un piccolo server web sul tuo computer con alcuni ausili HTTP di Metasploit incorporati e connettiti ad esso da un altro computer. Con un po 'di fortuna se sta monitorando il traffico con Wireshark, lo vedrà e si collegherà ad esso (un minuscolo piccolo server senza nome di dominio, girare localmente è sempre qualcosa di curioso e vale la pena controllare). Se usa lo stesso browser per la sua routine quotidiana, sarai in grado di catturare il suo indirizzo Gmail, il nome di Facebook e forse anche le sue password (eppure sono passati diversi anni da quando ho provato questo e non so se puoi ancora afferrare password con quei moduli).

Tuttavia, se è un attaccante attento, nessuno di questi funzionerà (tranne forse il primo in una certa misura)

Buona fortuna!