Detectar agente de arp-cache / spoofer

Es necesario capturar y analizar el tráfico de la red utilizando Wireshark para detectar el origen del ataque de envenenamiento ARP. Echa un vistazo a este artículo . La idea es usar este filtro:

arp.duplicate-address-frame

También hay otra solución en este video

Juegue con kismet: con una antena direccional o un poco de caminata, debería poder ubicar dónde están más fuertes las fuentes del tráfico de arp: uno de ellos es un usuario legítimo y el otro no tanto.

Sin ningún hardware que no sea tu PC (con Linux), podrías

• determine su dirección de mac con Wireshark y mire la intensidad de su señal con airodump-ng a medida que avanza por el pasillo. Problema: es una sala, por lo que probablemente resuena mucho.

• verifique el proveedor de su tarjeta wifi (con su dirección mac) para saber qué PC tiene, aunque seguramente usó un cambiador de mac (e incluso si no lo hiciera, eso lo obligaría a verificar todos los fabricantes). que incrustó esta tarjeta wifi específica)

• Honeypot. Ejecute un pequeño servidor web en su computadora con algunos auxiliares http Metasploit 'incrustados y conéctese a él desde otra computadora. Con algo de suerte, si está monitoreando el tráfico con Wireshark, lo verá y se conectará a él (un pequeño servidor sin nombre de dominio, ejecutándose localmente siempre es algo curioso y vale la pena comprobarlo). Si usa el mismo navegador para su rutina diaria, podrá capturar su dirección de Gmail, su nombre de Facebook y quizás incluso sus contraseñas (aún, han pasado varios años desde que probé esto y no sé si todavía puede agarrar contraseñas con esos módulos).

Sin embargo, si es un atacante cuidadoso, ninguno de estos funcionará (excepto quizás el primero hasta cierto punto)

¡Buena suerte!