Controlla se l'ip sorgente appartiene a quell'utente

0

Sto cercando di capire in maniera più avanzata su come possiamo prevenire un IP spoofing. dal momento che è impossibile conoscere l'indirizzo mac originale di una versione contraffatta, come possiamo verificare ad esempio se i pacchetti che abbiamo inviato o che abbiamo ricevuto arrivano o escono dalla retour (192.168.0.1)? .

ad esempio è sicuro determinare che la seconda chiamata di una richiesta Arp è falsa? perché non ha senso dopo la prima richiesta arp la retour ha la sua tabella impostata e pronta a partire, perché invierà più richieste arp ogni volta?

se non , la maggior parte delle volte un IP sorgente non appartiene allo spoofer da sé, quindi non possiamo eseguire il ping, è sicuro determinare che è un pacchetto falso?

e se possiamo eseguire il ping dell'ip sorgente il suo hostname di origine è attivo e funzionante come possiamo scoprire che il pacchetto che viene inviato o ricevuto è falso?

Sto cercando di capire di più sullo spoofing Potrei avere qualche incomprensione di alcuni concetti quindi scusami per qualsiasi termine confuso!

    
posta Huster 25.06.2017 - 23:19
fonte

1 risposta

1

how we can check for example if the packets we sent or we received are going/coming from the router (192.168.0.1)

È possibile codificare a macchina il mapping (indirizzo MAC, indirizzo IP) del router e eliminare i pacchetti che dichiarano di provenire dall'IP del router che non corrisponde all'indirizzo mac.

Molto probabilmente, nient'altro funzionerà in modo affidabile. Tuttavia, la risoluzione dell'indirizzo MAC del router probabilmente causerà problemi di manutenzione.

is it safe to determine that the second call of an ARP request is fake?

Non necessariamente. Le tabelle ARP vengono ripopolate periodicamente. L'hardware potrebbe essere scambiato, spiegando le modifiche dell'indirizzo MAC.

so we cannot ping , is it safe to determine that its a fake packet ?

No. Solo perché non è possibile eseguire il ping di un host non significa che non esiste o non è reale. È firewall - o qualsiasi firewall lungo il percorso - potrebbe semplicemente scartare le richieste ping.

Inoltre, il ping funziona al di sopra del livello ethernet, quindi se qualcuno ruba con successo un indirizzo IP sul tuo segmento di rete avvelenando le cache / gli switch arp, non avrà alcun problema a rispondere al tuo ping. Fondamentalmente, il ping è inutile come metodo di autenticazione.

and if we can ping the source ip its source hostname is up and running how we can find out that the packet being sent or received is fake

Imposta un protocollo di autenticazione. Se l'host ti autentica con successo, sai che è la cosa reale. Se non può, è un falso. Tuttavia, questo non funziona a livello di IP: è necessario creare l'autenticazione in un protocollo a livello di applicazione, o usare uno preesistente, come TLS.

    
risposta data 26.06.2017 - 02:18
fonte

Leggi altre domande sui tag