Attacco man-in-the-middle rilevato dall'antivirus?

Naviga le tue risposte
0

Ho provato a eseguire un attacco mitm su uno dei miei pc su cui è installato l'antivirus Eset. Una volta messo tutto a posto e avviato l'attacco, l'antivirus sul mio pc ha immediatamente rilevato e bloccato l'attacco.

Quindi mi piacerebbe sapere come l'antivirus è stato effettivamente in grado di rilevare l'attacco?

EDIT: Per essere più chiari: ho provato ad intercettare i dati http / https inoltrando la porta 80 & 443 con iptables. Poi ho usato il comando arpspoof insieme a mitmproxy per l'attacco.

    
posta CrypticX 25.03.2017 - 01:09
fonte

1 risposta

1

Molto probabilmente il tuo tentativo è stato rilevato a causa dell'attacco di spoofing dell'arp. Questo attacco invia diversi pacchetti arp in un brevissimo periodo di tempo, contenente un indirizzo IP già in uso. Quando un anti-virus (o IPS / IDS) vede una macchina con questo comportamento, la classifica automaticamente come malevola e, a seconda del software, può inserire nella lista nera l'IP.

Per comprendere l'anatomia di un attacco di spoofing arp, seleziona questa pagina o questo video che descrive l'attacco.

    
risposta data 28.03.2017 - 17:29
fonte

Leggi altre domande sui tag

La connessione cablata sembra essere intercettata mentre si è al lavoro Come posso scaricare una directory mercuriale esposta?