Sto diventando ARP Spoofed?

1

Il mio ISP utilizza IP statici (IPv4) per fornire una connessione Ethernet. Ora recentemente ho assistito a una grave perdita di velocità a volte. Ho chiamato il mio ISP per verificare se ci fossero problemi nella rete, che mi dicono sempre se stanno bene dalla loro parte. Il ping a Google DNS va sempre bene, cioè. ping 8.8.8.8 -t

Ora penso di essere stato falsificato per due motivi. Questa è una connessione a banda larga locale che sto usando, es. i miei vicini utilizzano Ethernet dallo stesso switch che si trova all'esterno. anche gli IP assegnati sono sequenziali. Il mio IP è 172.16.130.196 i miei vicini forse 172.16.130.198 o qualcosa del genere. Quindi (correggimi se sbaglio) potresti fare una scansione degli IP disponibili in rete usando qualcosa come AngryIPScanner.

Il secondo motivo per cui penso di essere ARP falsificato è che quando eseguo il comando arp -a nel mio terminale di Windows ottengo più voci: mi piace così:

arp -a

Interface: 172.16.130.196 --- 0x4
  Internet Address      Physical Address      Type
  172.16.130.193        00-25-90-ea-31-33     dynamic
  172.16.130.255        ff-ff-ff-ff-ff-ff     static
  224.0.0.22            01-00-5e-00-00-16     static
  224.0.0.252           01-00-5e-00-00-fc     static
  224.0.0.253           01-00-5e-00-00-fd     static
  239.255.67.250        01-00-5e-7f-43-fa     static
  239.255.255.250       01-00-5e-7f-ff-fa     static

L'unica voce che riconosco in questo elenco è 172.16.130.193 che è il mio gateway predefinito. Che diavolo sono gli altri? Va bene che ci siano più voci nella cache ARP?

Sono vittima dello spoofing ARP? Se è così, come posso affrontarlo, ad es. posso vietare l'IP nel mio firewall o qualcosa del genere?

Se sono necessarie ulteriori prove, faccelo sapere.

    
posta Heidi 13.05.2016 - 15:19
fonte

2 risposte

4

Non vi è alcuna indicazione di spoofing ARP, almeno non nelle informazioni fornite. Quello che dovresti vedere in caso di spoofing ARP è che il tuo gateway predefinito ha l'indirizzo MAC sbagliato, cioè dovresti verificare l'indirizzo MAC in questa voce:

172.16.130.193        00-25-90-ea-31-33     dynamic

Tutto il resto sono voci perfettamente valide:

224.0.0.22            01-00-5e-00-00-16     static
224.0.0.252           01-00-5e-00-00-fc     static
224.0.0.253           01-00-5e-00-00-fd     static
239.255.67.250        01-00-5e-7f-43-fa     static
239.255.255.250       01-00-5e-7f-ff-fa     static

Questi sono indirizzi multicast, non i tuoi neigbhors. Da Indirizzo multicast di Wikipedia :

IPv4 multicast addresses are defined by the leading address bits of 1110, ... The group includes the addresses from 224.0.0.0 to 239.255.255.255. Address assignments from within this range are specified in RFC 5771...

172.16.130.255        ff-ff-ff-ff-ff-ff     static

E questo è l'indirizzo di broadcast della tua rete

    
risposta data 13.05.2016 - 15:43
fonte
2

Questo sembra perfettamente a posto. Gli indirizzi nella tua cache arp sono per broadcast (172.16.130.255) e vari gruppi multicast. Questo è normale.

Quando sei vittima di avvelenamento da ARP-Cache non ci sono altri indirizzi in quella tabella. Ma l'indirizzo MAC del router in genere non corrisponde al vero indirizzo MAC del router.

Puoi verificarlo eseguendo wireshark e filtrando i pacchetti arp. Se sei falso, ci sarà un'alta frequenza di pacchetti ARP con informazioni falsificate.

    
risposta data 13.05.2016 - 15:44
fonte

Leggi altre domande sui tag