In che modo gli analisti di malware rilevano le informazioni contraffatte?

Bene sappiamo che spoofing un indirizzo IP (su TCP) è altamente improbabile a causa della stretta di mano a tre vie che si svolge.

D'altra parte, spoofing di un indirizzo MAC è un compito abbastanza banale. Il tuo unico rilevamento per MAC falsificati è quello di guardare il MAC e cercare di determinare il produttore (i primi tre valori (cioè i tre "XX") indicano il produttore in un indirizzo come XX: XX: XX: 12: 34: 56 ). Si noti che solo gli indirizzi MAC errati, in altre parole, i MAC che non si risolvono in un produttore, sarebbero chiari segnali di spoofing. Se l'attore contraffa un MAC valido , sarà più difficile da rilevare.

I controlli tipici per mitigare lo spoofing includono l'uso di SSL (su TLS) con un certificato firmato da un'autorità di certificazione (CA).

@Hollowproc è corretto. I MAC di solito sono l'omissione definitiva e, se il MAC è falso, l'IP è più che probabile anche lo spoofing a causa dell'ARP. Ecco un articolo di Cisco che lo spiega davvero bene e copre aree come Rilevazione pacchetti spoofizzati, Pacchetti IP di tracciamento di spoofing e contromisure per lo spoofing IP. IP Spoofing