Sto pianificando di sviluppare uno script Ruby che rilevi attacchi di spoofing ARP su una rete locale, ho alcune domande a riguardo. Ci sono tre scenari che sto prendendo in considerazione:
-
La prima idea è sempre un'idea di base. Se si esegue l'avvelenamento ARP, i miei pacchetti stanno fluendo verso l'attaccante e da lì al router. L'indirizzo MAC del router nella mia tabella ARP sarà quello dell'attaccante. In questa situazione, nella tabella ARP sarà presente un indirizzo MAC duplicato con un IP diverso. Quindi, ho intenzione di leggere la tabella ARP con i sottoprocessi (ARP -a), se ci sono degli indirizzi mac duplicati, presumo che lo spoofing ARP sia stato fatto per me. Ma questa è una soluzione molto semplice e inadeguata.
-
Se l'intruso vuole solo escludermi dalla connessione Internet. Lui / Lei può ignorare questa protezione (il mio script :)) inviando il pacchetto ARP solo al router e dire "l'indirizzo MAC della vittima è questo", e invia un falso indirizzo MAC al router che finge di essere me. Quindi non ci saranno voci duplicate nella mia tabella ARP da rilevare. Quello che penso di fare è inviare tutti gli utenti nella rete ICMP, raccogliere gli indirizzi MAC originali e poi abbinarli agli indirizzi MAC nella tabella ARP.
- Quello che ho scritto sopra non è abbastanza. Il mio piano è di rilevare gli attacchi nella rete, ma l'intruso potrebbe non farmi nulla e invece inviare i pacchetti ARP a un'altra macchina sulla rete. Non so esattamente cosa fare con questa situazione, ho un'idea ma non ne sono sicuro, ho qualche domanda su questo scenario: Tutti i pacchetti ARP sono trasmessi? Posso ascoltare tutti i pacchetti ARP sulla rete? Posso accedere alla tabella ARP del router?
Non ho trovato la risposta esatta a queste domande, ho bisogno del tuo consiglio :).
Come gestisco questo problema con Ruby? Dove dovrei cercare?