it-swarm.dev

Come dire se sei stato avvelenato da ARP?

Sto riscontrando alcuni problemi sul lavoro e c'è un nuovo amministratore di rete in atto. Penso di essere monitorato, quindi ho deciso di eseguire ArpSpy X in due scenari:

  1. Tramite il bridge WiFi collegato al router Cisco per prendere nota dell'indirizzo IP e MAC del router. Poi ho fatto cercare un fornitore e si presenta come un router Cisco (che dovrebbe), ma ho anche un'altra voce Mac per lo stesso IP (l'IP del router) di FF:FF:FF:FF:FF.
  2. Quindi attraverso Hardwired via Ethernet vedo solo il FF:FF.... indirizzo per l'IP del router.

Al momento utilizzo la rete solo tramite VPN (OpenVPN) a un provider VPN esterno per sicurezza.

Qualcuno può dirmi se il doppio indirizzo MAC via cavo e il singolo FF:FF:FF.... è normale o sono solo paranoico?

19
user20214

FF: FF: FF: FF: FF: FF è l'indirizzo MAC di trasmissione ed è associato all'indirizzo IP di trasmissione nella tabella ARP (arp -a comando). Qualcuno potrebbe averti avvelenato ma potresti aver scambiato l'indirizzo IP di trasmissione con l'indirizzo IP del gateway .

Ecco gli strumenti che forniscono sicurezza ARP avvisando o fermando gli attacchi:

  • XArp : rilevamento avanzato dello spoofing ARP, sondaggio attivo e controlli passivi. Due interfacce utente: visualizzazione normale con livelli di sicurezza predefiniti, visualizzazione professionale con configurazione per interfaccia dei moduli di rilevamento e validazione attiva. Windows e Linux, basati sulla GUI.
  • Snort : Snort preprocessore Arpspoof , rileva lo spoofing arp.
  • Arpwatch : il programma di monitoraggio ethernet; per tenere traccia degli accoppiamenti di indirizzi Ethernet/IP,
  • ArpON : demone handler portatile per proteggere ARP da spoofing, avvelenamento da cache o attacchi di veleno - routing in reti statiche, dinamiche e ibride.
  • Antidote : demone Linux, monitora i mapping, un numero insolitamente elevato di pacchetti ARP.
  • Arp_Antidote : Linux Kernel Patch per 2.4.18 - 2.4.20, controlla i mapping, può definire l'azione da intraprendere quando.
  • ArpAlert : ascolta su un'interfaccia di rete (senza usare la modalità "promiscua") e intercetta tutte le conversazioni dell'indirizzo MAC su richiesta IP. Quindi confronta gli indirizzi mac rilevati con un elenco preconfigurato di indirizzi MAC autorizzati. Se il MAC non è in elenco, arpalert avvia uno script utente predefinito con l'indirizzo MAC e l'indirizzo IP come parametri. Questo software può essere eseguito in modalità Deamon; è molto veloce (basso consumo di CPU e memoria). Risponde al segnale SIGHUP (ricarica della configurazione) e ai segnali SIGTERM, SIGINT, SIGQUIT e SIGABRT (arpalert si ferma da solo)
  • ArpwatchNG : monitora gli indirizzi mac sulla rete e li scrive in un file. l'ultimo timestamp e notifica di modifica sono inclusi. usalo per monitorare indirizzi mac sconosciuti (e come tali, probabilmente intrusi) o qualcuno che si scherza con i tuoi arp_/dns_tables.

https://en.wikipedia.org/wiki/ARP_spoofing

25
Cristian Dobre

Esiste anche uno script Bro che rileva passivamente lo spoofing ARP. Monitora le richieste e le risposte ARP per potenziali spoofing. Ecco come l'autore lo descrive:

  1. Un utente malintenzionato che utilizza lo spoofing ARP come metodo può inviare risposte gratuite (che giacciono su una corrispondenza esistente da IP a MAC) o inviando molte richieste a una o più vittime con indirizzo hardware del mittente falsificato e/o campi dell'indirizzo del protocollo del mittente. Questo script controlla sia i pacchetti ARP gratuiti che sono risposte indesiderate, sia le richieste ARP inviate più volte con le stesse informazioni. Un attaccante dovrà inviare molti di entrambi i tipi di pacchetti falsificati per continuare l'attacco (altrimenti la vittima smetterà di indirizzare il suo traffico verso una posizione fornita dall'aggressore).

  2. Questo script sfrutta la conoscenza delle transazioni DHCP, uno stato coerente di richieste e risposte ARP e altre metriche al fine di fornire informazioni più accurate sui potenziali attacchi. Affinché un utente malintenzionato possa negare il servizio di una vittima o avviare un attacco MITM, l'utente malintenzionato dovrà fornire un indirizzo MAC contraffatto del gateway della vittima. Per mantenere un attacco continuo, l'attaccante invierà molti pacchetti contraffatti, che possono essere contati. È possibile che questi pacchetti falsificati cambino le mappature da IP a MAC, che possono anche essere rilevate.

Attualmente si trova in un repository github separato , ma alla fine ci integreremo nel master.

8
mavam

Il modo migliore e più affidabile, se hai familiarità con la rete, è avviare una copia di WireShark e cercare richieste sospette.

Puoi anche guardare una semplice stampa traceroue tra te e Internet, se vedi Luppolo che non dovrebbe essere lì, è possibile che tu sia attaccato.

Inoltre, eseguendo semplicemente il ping di tutti i computer locali (nmap -sP 192.168.1.0/24 lo farà rapidamente) e controllando la tabella ARP (arp -an) per i duplicati, è possibile rilevare l'avvelenamento ARP abbastanza rapidamente.

I seguenti collegamenti dovrebbero aiutare:

StarDotHosting

OSTalks.com

Spero che aiuti!

4
NULLZ