Suricata IPS ha la capacità di rilevare e prevenire gli attacchi di avvelenamento ARP? Snort utilizza un preprocessore che decodifica i pacchetti ARP e rileva gli attacchi ARP, ma non sono riuscito a trovare alcuna funzionalità di questo tipo per Suricata IPS.
Attacchi Arp relativi al livello 2 del modello OSI. Suricata e Snort IDPS è stato sviluppato per rilevare attacchi al livello più alto del modello OSI. Suricata non ha un meccanismo per rilevare attacchi di questo tipo. Snort ha un preprocessore per rilevare gli attacchi arp ma richiede una certa configurazione. Ci ho lavorato e non l'ho trovato utile perché a volte non funziona. Lo svantaggio principale del preprocessore snort arpspoof è la necessità di specificare manualmente l'indirizzo IP e l'indirizzo hardware su arpspoof-detect-host. L'host e lo snort devono trovarsi nello stesso segmento di livello 2. Per prevenire questo tipo di attacchi, la soluzione migliore è utilizzare Switch di livello 2.
Leggi altre domande sui tag arp-spoofing