Un attacco MitM può verificarsi dal livello 2 dello stack TCP / IP. Nell'esempio a cui ti sei collegato, si tratta di un attacco ARP, ma potresti anche intercettare il traffico a livello di applicazione (ad esempio, tecnicamente un proxy web sarebbe un MitM).
MitM è una classe di attacchi con lo scopo esplicito di intercettare il traffico, sia per ascoltare che per modificare. Come nota @ M'vy, tecnicamente quando hai MitM puoi scegliere cosa fare con il traffico che intercetti, in modo da poter eliminare il traffico che sarebbe un DoS. Tuttavia, ci sono altre cose più semplici da fare sulla rete locale per DoS (ad es., Un falso DHCP e ti indicano di fare un gateway o un DNS non valido).
Se sei sulla rete locale e vuoi vedere quali servizi sono in esecuzione sul computer di una vittima, puoi eseguire una scansione della porta usare qualcosa come nmap
e vedere quali servizi sono in esecuzione. Se vuoi vedere il traffico in uscita di una vittima, puoi semplicemente monitorare il traffico utilizzando qualcosa come wireshark
o qualcosa come p0f
. Non è necessario che MitM visualizzi ciò che si trova all'interno del dominio di broadcast, MitM potrebbe essere rumoroso o rilevato, quindi non si vorrebbe necessariamente usarlo solo per vedere cosa sta succedendo.
In termini di difesa, cose come 802.1x e Network Admission Control possono aiutare. Queste tecniche aiutano a garantire che si stia parlando solo con endpoint legittimi e di mantenere i nodi non autorizzati fuori dalla rete.
Altre tecnologie che possono aiutare a prevenire gli attacchi MitM a livello 2/3:
-
Snooping DHCP - "Il caso d'uso fondamentale per lo snooping DHCP è impedire l'accesso non autorizzato (canaglia ) Server DHCP che offrono indirizzi IP ai client DHCP. I server DHCP canaglia vengono spesso utilizzati negli attacchi man in the middle o denial of service per scopi dannosi. "
-
ARP dinamico Ispezione - "Dynamic ARP inspection (DAI) è una funzione di sicurezza che rifiuta i pacchetti ARP non validi e dannosi. La funzione impedisce una classe di attacchi man-in-the-middle, in cui una stazione ostile intercetta il traffico per altre stazioni avvelenando le cache ARP dei suoi ignari vicini. "
-
IP Source Guard - "P Source Guard è una funzione di sicurezza che limita il traffico IP su porte Layer 2 non attendibili filtrando il traffico in base al database di binding snooping DHCP o ai binding di origine IP configurati manualmente. "
Per prevenire un attacco DoS, vorresti ottenere il nodo dell'attaccante locale o la tua rete. Potresti essere in grado di filtrare il traffico quando conosci il MAC / IP dell'utente malintenzionato (supponendo che non cambi costantemente) sul tuo endpoint. A livello di rete, potresti essere in grado di configurare il tuo switch / router per disabilitare la porta dell'attaccante in base a un comportamento errato. Dovrai leggere i documenti per la tua attrezzatura specifica per vedere se è possibile con ciò che hai.