Rilevazione di un attacco MITM

3

Se la mia sessione si trova sotto un attacco Man-In-The-Middle , posso rilevarlo controllando gli indirizzi IP a cui è collegata la mia macchina? Ad esempio, voglio sapere se la mia connessione a un determinato sito Web è MITMed o meno, posso visitare il sito e quindi utilizzare netstat -antp per scoprire l'IP a cui sono connesso.

Se sono in MITMed, quell'IP apparterrà all'attaccante e sarà diverso dal sito web effettivo. Funziona nel rilevare un attacco?

    
posta qsc 14.07.2015 - 11:14
fonte

3 risposte

5

Se l'attacco MITM è stato fatto usando avvelenamento da arp (per esempio nella rete WiFi pubblica), non vedrai IP degli hacker ovunque.

Diciamo che il gateway predefinito di una rete WiFi è 192.168.1.1. L'utente malintenzionato può inviare risposte arp alla tua macchina dicendo che è 192.168.1.1. La macchina continuerà a inviare pacchetti all'indirizzo 192.168.1.1, ma il sistema la risolverà sul MAC dell'utente malintenzionato e non sul MAC del gateway reale.

Tutti gli indirizzi IP di tutti i siti Web visitati rimarranno invariati dal punto di vista della tua macchina. La sola voce MAC del gateway predefinito nella tabella arp sarà cambiata.

    
risposta data 14.07.2015 - 12:32
fonte
1

Se stai eseguendo Arpwatch con avvisi attivi, puoi scrivere uno script per interrompere tutto il traffico quando rileva una modifica dell'indirizzo MAC. Questo ti proteggerà dallo spoofing IP e costringerà la tua attenzione al problema. Questo presuppone che non siano MAC spoofing.

Ma questo funziona solo per gli attacchi MITM attivi, questo non funzionerà con il MITM passivo, per questo è necessario utilizzare la crittografia a strati con segretezza in avanti.

    
risposta data 16.07.2015 - 02:44
fonte
0

Sì, ma non in tutti i casi. questo dipende dalla tua rete e dalla configurazione del routing.

Se sei dietro un firewall proxy, probabilmente vedrai sempre l'indirizzo IP del proxy sempre, poiché tutte le tue richieste web verranno instradate attraverso di esso.

Inoltre, se il server web (presumo) si trova dietro un IP / gateway pubblico e che MITM si trova dietro lo stesso IP / gateway pubblico, non è possibile rilevarlo.

Se un aggressore è abbastanza intelligente per MITM, presumo che sia abbastanza intelligente da falsificare anche gli indirizzi IP.

    
risposta data 14.07.2015 - 12:10
fonte

Leggi altre domande sui tag