Detectando un ataque MITM

Si el ataque MITM se realizó mediante el envenenamiento de arp (por ejemplo, en una red WiFi pública), no verá la IP de los atacantes en ninguna parte.

Digamos que la puerta de enlace predeterminada de una red WiFi es 192.168.1.1. El atacante puede enviar respuestas de arp a su máquina diciéndole que es 192.168.1.1. Su máquina continuará enviando paquetes a la dirección 192.168.1.1, pero el sistema lo resolverá a la MAC del atacante, y no a la MAC de la puerta de enlace real.

Todas las direcciones IP de todos los sitios web que visite permanecerán sin cambios desde el punto de vista de sus máquinas. Solo la entrada de MAC de su puerta de enlace predeterminada en su tabla arp habrá cambiado.

Si está ejecutando Arpwatch con alertas, puede escribir un script para detener todo el tráfico cuando detecte un cambio de dirección MAC. Esto lo protegerá contra la falsificación de IP y forzará su atención al problema. Esto asume que no son también falsificaciones de MAC.

Pero esto solo funciona para ataques MITM activos, esto no funcionará para MITM pasivo, para eso necesitas usar encriptación en capas con secreto hacia adelante.

Sí, pero no en todos los casos. esto depende de su configuración de red y enrutamiento.

Si está detrás de un servidor de seguridad proxy, es probable que solo vea la dirección IP del proxy todo el tiempo, ya que todas sus solicitudes web se enrutarán a través de él.

Además, si el servidor web (supongo) está detrás de una IP / pasarela pública y ese MITM también está detrás de esa misma IP / pasarela pública, entonces no puede detectarlo.

Si un atacante es lo suficientemente inteligente como para MITM, asumo que también es lo suficientemente inteligente como para falsificar las direcciones IP.