Caching ARP per evitare il rilevamento L2 sulla rete commutata?

1

L'utilizzo di nmap su una rete molto ampia (/ 16) commutata può portare a un numero eccessivo di richieste ARP che possono essere rilevate da semplici contatori ARP che ascoltano le richieste ARP trasmesse.

  1. C'è un modo per evitare l'individuazione degli host ARP sulla rete locale?

  2. Durante il port scan (TCP SYN), invece di rallentare la velocità di scansione ( -T2 o meno), ci sono dei parametri nmap o strumenti esterni per riempire e congelare la cache ARP? È un modo efficace per gestire il rischio di rilevamento L2?

posta Kartoch 23.04.2015 - 10:53
fonte

1 risposta

2

Non c'è modo di evitare di inviare una richiesta ARP per ogni indirizzo IP di destinazione con cui si intende comunicare con il proprio collegamento locale. Questo perché la comunicazione IP su un collegamento di tipo ARP (come Ethernet o 802.11a / b / g / n) richiede una richiesta ARP e una risposta per determinare l'indirizzo hardware (MAC) associato all'indirizzo IP che si desidera contattare.

Come menzionato nei commenti, Nmap ha un'opzione chiamata --disable-arp-ping . Tuttavia, questo non disabilita l'invio di richieste ARP; semplicemente scarica tale responsabilità sul sistema operativo dello scanner, richiedendo risposte a livello di rete (IP) per considerare l'host di destinazione "attivo". In questo modo viene generato un altro traffico. È davvero utile solo nei casi in cui le risposte ARP vengono falsificate.

Ci sono opzioni di discovery degli host che utilizzano script NSE che non richiedono l'invio di richieste ARP a tutti i possibili indirizzi di destinazione, ma è probabile che manchino almeno alcuni host:

  • broadcast-ping invierà una richiesta Echo ICMP all'indirizzo di trasmissione dell'interfaccia. Alcuni sistemi risponderanno a questi, ma non a tutti.
  • targets-sniffer annusa il traffico di rete per un periodo di tempo configurabile e aggiunge eventuali indirizzi osservati alla coda di destinazione. Ciò richiede che gli obiettivi inviino traffico allo scanner, di solito trasmettono traffico.
  • broadcast-dns-service-discovery e lltd-discovery sono due dei molti script che inviano traffico broadcast o multicast per ottenere risposte da particolari servizi su una rete.
  • Gli script targets-ipv6-multicast-* possono essere utilizzati per rilevare gli indirizzi IPv6 sulla rete locale. Oltre alla scansione diretta di questi indirizzi IPv6, a volte è possibile utilizzare altri script di discovery per raccogliere gli indirizzi IPv4 dell'host da vari servizi di ascolto.
  • Altri script come ntp-monlist o dns-zone-transfer può raccogliere elenchi di obiettivi da determinati servizi, ma richiede di sapere quali host eseguono questi servizi.
risposta data 23.04.2015 - 15:24
fonte

Leggi altre domande sui tag