J'ai des problèmes au travail et un nouvel administrateur réseau est en place. Je pense que je suis surveillé, j'ai donc décidé d'exécuter ArpSpy X dans deux scénarios:
FF:FF:FF:FF:FF
.FF:FF....
adresse de l'IP du routeur.Pour le moment, je n'utilise le réseau via VPN (OpenVPN) qu'à un fournisseur VPN externe pour être sûr.
Quelqu'un peut-il me dire s'il vous plaît si la double adresse MAC via filaire et la simple FF:FF:FF....
est normal ou suis-je juste paranoïaque?
FF: FF: FF: FF: FF: FF est l'adresse MAC de diffusion et est associée à adresse IP de diffusion dans la table ARP (arp -a
commande). Quelqu'un pourrait vous empoisonner mais vous avez peut-être confondu l'adresse IP de diffusion avec l'adresse IP de passerelle .
Voici des outils qui assurent la sécurité ARP en alertant ou en arrêtant les attaques:
Il existe également un script Bro qui détecte passivement l'usurpation ARP. Il surveille les demandes et les réponses ARP en cas d'usurpation potentielle. Voici comment l'auteur le décrit:
Un attaquant utilisant le spoofing ARP comme méthode peut envoyer des réponses gratuites (qui reposent sur une correspondance IP à MAC existante) ou en envoyant de nombreuses requêtes à une ou plusieurs victimes avec des adresses de matériel d'expéditeur et/ou des adresses de protocole d'expéditeur usurpées. Ce script vérifie les paquets ARP gratuits qui sont des réponses non sollicitées, ainsi que les demandes ARP envoyées plusieurs fois avec les mêmes informations. Un attaquant devra envoyer plusieurs de ces deux types de paquets usurpés afin de poursuivre l'attaque (sinon la victime cessera de diriger son trafic vers un emplacement fourni par l'attaquant).
Ce script exploite la connaissance des transactions DHCP, un état cohérent des demandes et des réponses ARP et d'autres mesures afin de fournir des informations plus précises concernant les attaques potentielles. Pour qu'un attaquant refuse un service aux victimes ou lance une attaque MITM, l'attaquant devra fournir une adresse MAC usurpée de la passerelle de la victime. Afin de maintenir une attaque continue, l'attaquant enverra de nombreux paquets usurpés, qui peuvent être comptés. Il est possible que ces paquets usurpés modifient les mappages IP en MAC, qui peuvent également être détectés.
Il est actuellement se trouve dans un référentiel github séparé , mais nous intégrerons éventuellement dans master.
Le meilleur moyen et le plus fiable, si vous êtes familiarisé avec la mise en réseau, est de démarrer une copie de Wireshark et de rechercher les demandes suspectes.
Vous pouvez également consulter une simple impression traceroue entre vous et Internet, si vous voyez des sauts qui ne devraient pas être là, il est possible que vous soyez attaqué.
De plus, en exécutant simplement une commande ping sur toutes les machines locales (nmap -sP 192.168.1.0/24 le fera rapidement), puis en vérifiant la table ARP (arp -an) pour les doublons, vous pouvez détecter l'empoisonnement ARP assez rapidement.
Les liens suivants devraient vous aider:
J'espère que cela pourra aider!