Se un utente malintenzionato sulla rete tenta di utilizzare l'avvelenamento ARP (spoofing) per reindirizzare il traffico alla propria macchina, quali meccanismi e tecniche sono disponibili per tracciare i messaggi ARP falsificati alla loro origine?
Queste tecniche sono efficaci anche quando la macchina attaccante utilizza un indirizzo MAC falsificato (uno scenario probabile)?
In base alla mia ricerca sull'argomento e all'esecuzione di test non ci sono soluzioni rapide per rintracciare l'individuo fonte che perpetra questo tipo di attacco a causa della sua natura. Significato del tracciamento, ma non filtro / blocco. Il metodo di attacco di per sé è fondamentalmente facile da fare rispetto alla scala di altri tipi di attacchi là fuori a causa di difetti fondamentali nell'hardware di rete. Esistono tuttavia metodi per bloccare o tracciare (in parte) e modi per restringere la ricerca di un utente malintenzionato.
Uno di questi strumenti chiamato arpwatch ( link ) che esegue la scansione delle modifiche all'indirizzo IP e MAC, quindi invia un avviso quando viene trovato . C'è un articolo su SUSE sull'utilizzo dello strumento qui: link
Il check in DHCP Snooping e DAI (Dynamic ARP Inspection): link
Izam ha ragione, è molto più facile rilevare l'avvelenamento da ARP che non colpire l'aggressore. I metodi usati più spesso lo trovano quando si verifica, o sono focalizzati sulla prevenzione. Wireshark descrive un metodo per trovare un punto di partenza per l'indagine: link
ArpPoisoning.com offre un paio di script che si eseguono quando si accede a un server che si può preoccupare di essere un bersaglio. link Uno per linux: link e uno per i computer basati su Windows: link
I 2 script tentano di tracciare la tabella ARP e confrontarla dal vivo mentre si è connessi e tentare di riparare la tabella ARP mentre sta accadendo.
Un altro passo sarebbe tentare la triangolazione (o trilaterazione) per individuare la posizione fisica dell'attaccante tra più punti di accesso.
Se disponi di più punti di accesso, allora hai l'opportunità quando trovi quello che sta ottenendo il più alto livello di traffico di richieste ARP e poi controllando la forza del segnale per individuare la posizione di una macchina di origine.
Un'applicazione di sicurezza di Aruba Networks utilizza la triangolazione per tentare di individuare i problemi sulla rete come "fonti di interferenza". È interessante notare che hanno lo stesso trucco al contrario, usando l'avvelenamento ARP come arma difensiva: se viene rilevata una "fonte di interferenza" tenta di avvelenare l'ARP della porta dell'interruttore usato da esso e uccidere il suo accesso alla rete ( pagina 19 qui): link
È garantito che non ho accesso a una rete protetta da questa struttura difensiva automatizzata e sfaccettata, ma sarei interessato a vedere quanto bene e quanto rapidamente toglie minacce come gli attacchi ARP. Essendo che difende da punti specifici in quanto sono compromessi, si potrebbe affermare che darebbe una buona direzione generale nell'ambiente reale per cercare un attaccante fisico.
Per le reti di piccole dimensioni, sarebbe meglio filtrare le cattive richieste ARP e impostare l'IP fisso e l'amp; Connessioni MAC ove possibile. Quindi è molto più facile tracciare con meno connessioni.
Leggi altre domande sui tag network mac-spoofing arp-spoofing