La scansione ARP è invisibile?

2

Se vuoi scoprire gli host dal vivo sulla tua sottorete, come puoi sfruttare il protocollo ARP per scansionare furtivamente?

Una scansione arp sarebbe stata rilevata come attività sospetta?

Potresti spoofare l'indirizzo di origine delle richieste ARP per rimanere nascosto?

    
posta ellefc 12.04.2016 - 10:14
fonte

2 risposte

3

No, se si desidera eseguire la scansione di un'intera sottorete, il computer invia in pratica pacchetti che dicono

  • Chi ha 192.168.1.0?
  • Chi ha 192.168.1.1?
  • Chi ha 192.168.1.2?
  • Chi ha 192.168.1.3?

e questo potrebbe essere notato in caso di monitoraggio sufficiente.

Un modo per aggirare questo è eseguire una scansione passiva usando qualcosa come netdiscover . Questo può ascoltare i pacchetti ARP e generare un elenco di tutti gli IP rilevati.

    
risposta data 12.04.2016 - 10:53
fonte
2

La definizione di invisibile è limitata a chi sta monitorando la rete.

In generale, puoi utilizzare ARP ping utilizzando alcuni strumenti automatici come nmap . È più veloce e affidabile della normale scansione ping IP.

can you exploit the ARP protocol in order to scan stealthily?

Normalmente, l'attività ARP su LAN è legittima, ma se fossi intensa e aggressiva nella tua scansione, potresti essere notato.

Would an arp scan be picked up as suspicious activity?

No, ma come ho detto, solo se l'amministratore non ha notato. Ad esempio, se vuoi rimanere invisibile, prova ad automatizzare la scansione con lunghi periodi di tempo.

Could you spoof the source address of ARP requests to remain stealthy?

Se hai spoofato il MAC in modo casuale, potresti essere furtivo, ma l'attività di scansione sarà ancora visibile e potresti aumentare la sospensione.

Alla fine, il mio unico consiglio è di rimanere in silenzio riducendo gli spazi tra i ping ARP.

    
risposta data 12.04.2016 - 10:49
fonte

Leggi altre domande sui tag