¿Es un escaneo ARP sigiloso?

2

Si desea descubrir los hosts en vivo en su subred, ¿cómo puede explotar el protocolo ARP para escanear sigilosamente?

¿Se tomaría un escaneo de arp como actividad sospechosa?

¿Podría falsificar la dirección de origen de las solicitudes de ARP para permanecer sigiloso?

    
pregunta ellefc 12.04.2016 - 10:14
fuente

2 respuestas

3

No, si desea escanear una subred completa, su computadora básicamente está enviando paquetes diciendo:

  • ¿Quién tiene 192.168.1.0?
  • ¿Quién tiene 192.168.1.1?
  • ¿Quién tiene 192.168.1.2?
  • ¿Quién tiene 192.168.1.3?

y esto podría notarse si se realiza una supervisión suficiente.

Una forma de evitar esto es ejecutar un análisis pasivo utilizando algo como netdiscover . Esto puede escuchar los paquetes ARP y generar una lista de todas las IP encontradas.

    
respondido por el SilverlightFox 12.04.2016 - 10:53
fuente
2

La definición de sigilo está limitada a quién está supervisando la red.

En general, puede usar ARP ping usando alguna herramienta automatizada como nmap . Es más rápido y confiable que el escaneo de ping IP normal.

  

¿Puedes explotar el protocolo ARP para escanear sigilosamente?

Normalmente, la actividad de ARP en LAN es legítima, pero si fuiste intenso y agresivo en tu escaneo, puedes notar.

  

¿Se tomaría un escaneo de arp como actividad sospechosa?

No, pero como dije, solo si el administrador no se ha dado cuenta. Por ejemplo, si desea permanecer en silencio, intente automatizar el análisis con largos períodos de tiempo.

  

¿Podría falsificar la dirección de origen de las solicitudes de ARP para permanecer sigiloso?

Si ha falsificado el MAC de forma aleatoria, es posible que sea sigiloso, pero la actividad de escaneo seguirá siendo notable y puede aumentar la suspensión.

Al final, mi único consejo es que permanezcas furtivo reduciendo los espacios de tiempo entre los pings de ARP.

    
respondido por el Emadeddin 12.04.2016 - 10:49
fuente

Lea otras preguntas en las etiquetas