rilevamento veleno ARP [duplicato]

Naviga le tue risposte
1

Ho provato il veleno ARP sul mio sistema di test locale con ettercap. È successo, quindi ho deciso di eseguire un test su molti sistemi sicuri, come Facebook e Google, ma non sono riuscito a raggiungerli e mi hanno avvertito: "La connessione non è privata". So che ci sono un sacco di IDS / IPS in grado di rilevare questo attacco e stavo cercando la risposta su come prevenire il veleno ARP nel caso del mio router. Secondo la descrizione devo usare l'indirizzamento IP statico e il binding IP e MAC, ma ho bisogno di usare DHCP, perché molti dispositivi si connettono tramite WIFI. Spesso arrivano nuovi dispositivi sulla rete, quindi non posso usare questa tecnica. Come posso prevenire il veleno ARP in questo caso?

Informazioni aggiuntive: il mio tipo di router è TP-Link N600.

    
posta ampika 04.06.2015 - 11:59
fonte

2 risposte

0

I router oi router di livello consumer probabilmente non forniranno alcuna protezione contro l'avvelenamento da ARP.

Tuttavia, nel caso di una piccola rete personale collegata direttamente al router, è possibile aggiungere una voce permanente nel computer per associare l'IP del router al suo vero indirizzo MAC.

Fortunatamente, il comando è lo stesso su host Linux e Windows: arp -s <inet_addr> <hw_addr> dove:

  • <inet_addr> rappresenta l'indirizzo IP,
  • <hw_addr> rappresenta l'indirizzo MAC.

Questa soluzione presenta tuttavia alcune limitazioni:

  • Funziona meglio se tutti gli host sono collegati direttamente al router. Se hai un passaggio tra host e router, un altro host potrebbe comunque utilizzare lo spoofing ARP per confondere lo switch,
  • In caso di dispositivi mobili, è possibile che si verifichi un problema se ci si connette a un'altra rete utilizzando lo stesso IP ma un indirizzo MAC diverso (molta rete personale ha il proprio router associato a indirizzi come 192.168.0.1),
  • Non è vendibile a reti più grandi dato che diventerebbe rapidamente pesante da mantenere (ma in questo caso ci sono spesso altre misure di rilevamento / prevenzione disponibili).
risposta data 04.06.2015 - 12:20
fonte
0

Oltre ad ispezionare la tabella di routing usando il comando 'arp -a' ci sono anche strumenti come 'arpwatch' e anche 'arptables' che fornisce un modo per implementare un filtro di traffico di traffico di livello due o IDS.

Poiché il tuo attuale firmware del router non consente questo tipo di installazione e configurazione del software, potresti voler esplorare o intrattenere l'idea di implementare un firmware basato su Linux compatibile con il tuo dispositivo come dd-wrt.

    
risposta data 04.06.2015 - 13:58
fonte

Leggi altre domande sui tag

Credenziali per la scansione delle vulnerabilità di un server di database [chiuso] La schermata di blocco di Windows può essere attaccata con un software? [duplicare]