In che modo gli analisti di malware rilevano le informazioni contraffatte?

0

Anche se sono abbastanza nuovo nel settore (terzo stage presso un istituto finanziario), sono sicuro che molte persone hanno ascoltato e compreso il concetto di spoofing delle informazioni, come un IP mittente o un indirizzo MAC.

La mia domanda è, come potrebbe un analista rilevare se determinate informazioni sono falsificate? Come potrebbero rilevare che un IP non è effettivamente l'IP del mittente?

La mia ipotesi migliore da quanto ho appreso finora è quella di esaminare i registri e confrontare le informazioni potenzialmente falsificate con il percorso effettivo che i pacchetti hanno assunto sulla rete.

    
posta PositriesElectron 12.07.2016 - 21:38
fonte

2 risposte

1

Bene sappiamo che spoofing un indirizzo IP (su TCP) è altamente improbabile a causa della stretta di mano a tre vie che si svolge.

D'altra parte, spoofing di un indirizzo MAC è un compito abbastanza banale. Il tuo unico rilevamento per MAC falsificati è quello di guardare il MAC e cercare di determinare il produttore (i primi tre valori (cioè i tre "XX") indicano il produttore in un indirizzo come XX: XX: XX: 12: 34: 56 ). Si noti che solo gli indirizzi MAC errati, in altre parole, i MAC che non si risolvono in un produttore, sarebbero chiari segnali di spoofing. Se l'attore contraffa un MAC valido , sarà più difficile da rilevare.

I controlli tipici per mitigare lo spoofing includono l'uso di SSL (su TLS) con un certificato firmato da un'autorità di certificazione (CA).

    
risposta data 12.07.2016 - 21:52
fonte
1

@Hollowproc è corretto. I MAC di solito sono l'omissione definitiva e, se il MAC è falso, l'IP è più che probabile anche lo spoofing a causa dell'ARP. Ecco un articolo di Cisco che lo spiega davvero bene e copre aree come Rilevazione pacchetti spoofizzati, Pacchetti IP di tracciamento di spoofing e contromisure per lo spoofing IP. IP Spoofing

    
risposta data 13.07.2016 - 01:25
fonte

Leggi altre domande sui tag