Si un atacante en la red intenta usar el envenenamiento ARP (falsificación) para redirigir el tráfico a su propia máquina, ¿qué mecanismos y técnicas están disponibles para rastrear los mensajes ARP falsificados a su fuente?
¿Son estas técnicas efectivas incluso cuando la máquina atacante está utilizando una dirección MAC falsificada (un escenario probable)?
De acuerdo con mi investigación sobre el tema y las pruebas en ejecución, no hay soluciones rápidas para rastrear a la fuente individual que realiza este tipo de ataque debido a su naturaleza. Significado de seguimiento, pero no de filtrado / bloqueo. El método de ataque en sí es básicamente fácil de hacer en comparación con la escala de otros tipos de ataques que existen debido a fallas fundamentales en el hardware de la red. Sin embargo, existen métodos para bloquear o rastrear (en parte) y formas de limitar la búsqueda de un atacante.
Una de estas herramientas llamada arpwatch ( enlace ) que busca cambios en la dirección IP y MAC luego envía una alerta cuando se encuentra . Hay un artículo de SUSE sobre el uso de la herramienta aquí: enlace
La comprobación en DHCP Snooping y DAI (Dynamic ARP Inspection): enlace
Izam tiene razón, es mucho más fácil detectar el envenenamiento ARP que atacar al atacante. Los métodos utilizados con más frecuencia lo encuentran cuando ocurre, o están enfocados en la prevención. Wireshark describe un método para encontrar un punto de partida 'para investigación': enlace
ArpPoisoning.com ofrece un par de scripts que ejecuta cuando inicia sesión en un servidor que le preocupa que puede ser un objetivo. enlace One for linux: enlace y uno para máquinas basadas en Windows: enlace
Los 2 scripts intentan rastrear la tabla ARP y compararla en vivo mientras estás conectado, e intentan reparar la tabla ARP a medida que sucede.
Otro paso sería intentar la triangulación (o trilateración) para identificar la ubicación física del atacante entre múltiples puntos de acceso.
Si tiene múltiples puntos de acceso, tiene la oportunidad de encontrar el que está obteniendo el nivel más alto de tráfico de solicitud de ARP y luego, al verificar la intensidad de la señal, localizar la ubicación de una máquina de origen.
Una aplicación de seguridad de Aruba Networks utiliza la triangulación para intentar localizar problemas en la red como 'fuentes de interferencia'. Curiosamente, tienen el mismo truco a la inversa, utilizando el envenenamiento ARP como un arma defensiva: si se detecta una 'fuente de interferencia', intenta envenenar el ARP del puerto del conmutador utilizado y matar su acceso a la red ( página 19 aquí): enlace
Concedido No tengo acceso a una red protegida por esta estructura defensiva automatizada y multifacética, pero me interesaría ver qué tan bien y con qué rapidez elimina amenazas como los ataques de ARP. Dado que se defiende contra puntos específicos, ya que están comprometidos, se podría hacer una afirmación de que daría una buena dirección general en el entorno real para buscar un atacante físico.
Para redes pequeñas, sería mejor filtrar las solicitudes de ARP incorrectas y configurar IP fija y amp; Conexiones MAC donde sea posible. Entonces es mucho más fácil realizar un seguimiento con menos conexiones.
Lea otras preguntas en las etiquetas network mac-spoofing arp-spoofing