Che cosa stai facendo se noti un attacco MITM contro un server Linux? [chiuso]

Se noti che qualcuno è attivamente un server man-in-the-mid, la prima cosa che dovresti fare è informare la tua squadra di risposta / sicurezza.

Dovrebbero decidere di attenuare i controlli, questo è il loro compito. È altamente affidabile su quale tecnologia sia MiTM e in che modo. Dipende anche in gran parte da dove si verifica il MiTM. Oltre a riorganizzare le rotte per attraversare un'altra rete, non c'è molto che tu possa fare.

Tieni presente il contesto qui - poiché si tratta di una domanda di intervista, l'obiettivo è valutare la tua comprensione della terminologia e dei concetti. Probabilmente non erano interessati a qualche strumento specifico o a un comando esatto che avresti eseguito (anche se potresti ottenere complimenti per sapere qualcosa del genere).

Come menzionato nei commenti, ci sono MOLTE specifiche che potrebbero influenzare la risposta, quindi non preoccuparti di quelle. Il punto è dimostrare che comprendi cos'è un attacco MITM, i potenziali modi in cui potrebbe essere rilevato e in che modo si riferisce al lavoro per il quale stai intervistando.

Ad esempio, la tua risposta avrebbe potuto essere: "Beh, un attacco MITM coinvolge un utente malintenzionato che reindirizza il traffico legittimo attraverso una macchina che controlla. Se ho notato questo mentre lavoravo su un server, probabilmente stavo monitorando il traffico di rete e ho visto qualcosa di strano nei modelli di traffico o nella tabella ARP. anche possibile stavo rivedendo i registri per un server web / applicazione e ho notato attività anomale da una singola macchina. "