web-dev-qa-db-fra.com

Comment savoir si vous êtes empoisonné par ARP?

J'ai des problèmes au travail et un nouvel administrateur réseau est en place. Je pense que je suis surveillé, j'ai donc décidé d'exécuter ArpSpy X dans deux scénarios:

  1. Sur le pont WiFi branché au routeur Cisco pour prendre note de l'adresse IP et MAC du routeur. Ensuite, j'ai fait rechercher un fournisseur et cela apparaît comme un routeur Cisco (ce qu'il devrait), mais j'ai également une autre entrée Mac pour la même IP (l'IP du routeur) de FF:FF:FF:FF:FF.
  2. Ensuite, via Hardwired via Ethernet, je ne vois que le FF:FF.... adresse de l'IP du routeur.

Pour le moment, je n'utilise le réseau via VPN (OpenVPN) qu'à un fournisseur VPN externe pour être sûr.

Quelqu'un peut-il me dire s'il vous plaît si la double adresse MAC via filaire et la simple FF:FF:FF.... est normal ou suis-je juste paranoïaque?

19
user20214

FF: FF: FF: FF: FF: FF est l'adresse MAC de diffusion et est associée à adresse IP de diffusion dans la table ARP (arp -a commande). Quelqu'un pourrait vous empoisonner mais vous avez peut-être confondu l'adresse IP de diffusion avec l'adresse IP de passerelle .

Voici des outils qui assurent la sécurité ARP en alertant ou en arrêtant les attaques:

  • XArp : Détection avancée d'usurpation ARP, vérification active et vérifications passives. Deux interfaces utilisateur: vue normale avec niveaux de sécurité prédéfinis, vue pro avec configuration par interface des modules de détection et validation active. Windows et Linux, basés sur une interface graphique.
  • Snort : Snort préprocesseur Arpspoof , détecte l'usurpation d'arp.
  • Arpwatch : le programme de surveillance Ethernet; pour garder une trace des paires d'adresses Ethernet/IP,
  • ArpON : démon de gestionnaire portable pour sécuriser ARP contre l'usurpation d'identité, l'empoisonnement du cache ou les attaques de routage empoisonné dans les réseaux statiques, dynamiques et hybrides.
  • Antidote : démon Linux, surveille les mappages, un nombre inhabituellement élevé de paquets ARP.
  • Arp_Antidote : Le correctif du noyau Linux pour 2.4.18 - 2.4.20, surveille les mappages, peut définir l'action à entreprendre quand.
  • ArpAlert : Il écoute sur une interface réseau (sans utiliser le mode "promiscuous") et capture toutes les conversations de l'adresse MAC à la demande IP. Il compare ensuite les adresses mac qu'il a détectées avec une liste préconfigurée d'adresses MAC autorisées. Si le MAC n'est pas dans la liste, arpalert lance un script utilisateur prédéfini avec l'adresse MAC et l'adresse IP comme paramètres. Ce logiciel peut fonctionner en mode démon; c'est très rapide (faible consommation CPU et mémoire). Il répond au signal SIGHUP (configuration rechargement) et aux signaux SIGTERM, SIGINT, SIGQUIT et SIGABRT (arpalert s'arrête)
  • ArpwatchNG : surveille les adresses mac sur votre réseau et les écrit dans un fichier. le dernier horodatage connu et la notification de modification sont inclus. utilisez-le pour surveiller les adresses mac inconnues (et en tant que telles, susceptibles d'être des intrus) ou quelqu'un déconner avec vos arp_/dns_tables.

https://en.wikipedia.org/wiki/ARP_spoofing

25
Cristian Dobre

Il existe également un script Bro qui détecte passivement l'usurpation ARP. Il surveille les demandes et les réponses ARP en cas d'usurpation potentielle. Voici comment l'auteur le décrit:

  1. Un attaquant utilisant le spoofing ARP comme méthode peut envoyer des réponses gratuites (qui reposent sur une correspondance IP à MAC existante) ou en envoyant de nombreuses requêtes à une ou plusieurs victimes avec des adresses de matériel d'expéditeur et/ou des adresses de protocole d'expéditeur usurpées. Ce script vérifie les paquets ARP gratuits qui sont des réponses non sollicitées, ainsi que les demandes ARP envoyées plusieurs fois avec les mêmes informations. Un attaquant devra envoyer plusieurs de ces deux types de paquets usurpés afin de poursuivre l'attaque (sinon la victime cessera de diriger son trafic vers un emplacement fourni par l'attaquant).

  2. Ce script exploite la connaissance des transactions DHCP, un état cohérent des demandes et des réponses ARP et d'autres mesures afin de fournir des informations plus précises concernant les attaques potentielles. Pour qu'un attaquant refuse un service aux victimes ou lance une attaque MITM, l'attaquant devra fournir une adresse MAC usurpée de la passerelle de la victime. Afin de maintenir une attaque continue, l'attaquant enverra de nombreux paquets usurpés, qui peuvent être comptés. Il est possible que ces paquets usurpés modifient les mappages IP en MAC, qui peuvent également être détectés.

Il est actuellement se trouve dans un référentiel github séparé , mais nous intégrerons éventuellement dans master.

8
mavam

Le meilleur moyen et le plus fiable, si vous êtes familiarisé avec la mise en réseau, est de démarrer une copie de Wireshark et de rechercher les demandes suspectes.

Vous pouvez également consulter une simple impression traceroue entre vous et Internet, si vous voyez des sauts qui ne devraient pas être là, il est possible que vous soyez attaqué.

De plus, en exécutant simplement une commande ping sur toutes les machines locales (nmap -sP 192.168.1.0/24 le fera rapidement), puis en vérifiant la table ARP (arp -an) pour les doublons, vous pouvez détecter l'empoisonnement ARP assez rapidement.

Les liens suivants devraient vous aider:

StarDotHosting

OSTalks.com

J'espère que cela pourra aider!

4
NULLZ