Sto sviluppando un programma che deve essere installato su una macchina "semplice" in una LAN, l'unica particolarità è che le schede NIC sono collegate su porte mirror. Il software può scansionare e monitorare la rete. Quello che sto cercando è una tecnica per abbattere un host su questa rete.
Quando scopro un nuovo host sulla rete, voglio "bloccarlo" finché non l'ho autorizzato, ma la macchina non è un firewall né un vero controller di accesso alla rete (NAC), quindi posso usare solo metodi passivi.
Ho provato l'avvelenamento della cache ARP per associare un MAC falso con l'IP del gateway reale nella cache ARP dell'host di destinazione, ma ci sono due problemi principali:
- La vittima può impostare manualmente la voce della cache ARP del gateway come statica.
- La vittima può ancora comunicare con gli altri host LAN.
Quindi ho provato un altro metodo: avvelenare la cache ARP di tutti gli host della rete tranne quella della vittima. Invio una richiesta ARP broadcast (funziona meglio della risposta) con l'IP della vittima e un MAC falso. Ma c'è ancora un problema:
- Quando la vittima tenta di comunicare con un altro host LAN, invia una richiesta ARP che inserisce l'associazione MAC e IP valida nella cache ARP degli altri host.
- La vittima può anche inviare manualmente richieste o risposte ARP per sovrascrivere il falso MAC nella cache ARP degli host.
Per queste ragioni mi chiedo se esiste un metodo migliore per realizzare una cosa del genere.