Come fa la polizia o qualcuno a sapere che è stato fatto un attacco di Arp Spoofing?

Naviga le tue risposte
1

Se guardi il traffico in tempo reale, puoi vedere che un attaccante che esegue un attacco MiTM esegue lo spoofing ARP perché gli indirizzi MAC saranno duplicati, ecc. E, beh, puoi vedere tutti gli indirizzi MAC e vedere chi è un router e controlla se gli indirizzi MAC del router corrispondono.

Ma cosa succede se sappiamo che un attacco è stato fatto ieri, per esempio? Come possiamo scoprire quale indirizzo MAC è stato lo spoofing e l'invio di certificati falsi (supponiamo che l'utente lo abbia accettato)? Supponiamo che un utente malintenzionato abbia rubato alcune credenziali di un conto bancario su un sito che utilizza HTTPS. È persino possibile?

    
posta andrea 05.05.2014 - 14:36
fonte

2 risposte

2

Controllo dei registri. Il grande segreto di dissezionare cosa è successo dopo un attacco. Versando i registri per trovare l'attività dannosa e vedere di cosa si tratta. Se non ci sono registri, non puoi dirlo.

Dove cercare i registri è anche metà della battaglia perché, a seconda della natura esatta dell'attacco, potresti aver bisogno di registri dal client, da un server o da un router o da una combinazione di 3. In realtà dipende da come l'attacco è stato eseguito.

    
risposta data 05.05.2014 - 16:15
fonte
1

Per scoprire che si è verificato un attacco ARP è necessario semplicemente visualizzare il contenuto delle tabelle ARP del kernel e provare a trovare, ad esempio, un indirizzo IP duplicato sospetto o uno spoofato. Per visualizzare la tabella ARP nel sistema Linux: 

# arp -a
    
risposta data 05.05.2014 - 16:41
fonte

Leggi altre domande sui tag

Che cos'è un firewall sicuro con UFW? In seguito ai reindirizzamenti da HTTPS a HTTP - Sicuro?