Estoy planeando desarrollar un script Ruby que detecte los ataques de suplantación de ARP en una red local, tengo algunas preguntas al respecto. Hay tres escenarios que estoy considerando:
-
La primera idea como siempre es una idea básica. Si se realiza el envenenamiento ARP, mis paquetes fluyen hacia el atacante y desde allí hacia el enrutador. La dirección MAC del enrutador en mi tabla ARP será la del atacante. En esta situación, habrá una dirección MAC duplicada en la tabla ARP con una IP diferente. Por lo tanto, planeo leer la tabla ARP con subprocesos (ARP -a), si hay direcciones mac duplicadas, asumo que la suplantación de ARP está hecha para mí. Pero esta es una solución muy simple e inadecuada.
-
Si el intruso solo quiere cortarme la conexión a Internet. Él / Ella puede pasar por alto esta protección (mi script :)) enviando el paquete ARP solo al enrutador y decir "la dirección MAC de la víctima es esto", y enviar una dirección MAC falsa al enrutador que pretende ser yo. Entonces no habrá ninguna entrada duplicada en mi tabla ARP para que la detecte. Lo que creo que debo hacer es enviar a todos en la red ICMP, recopilar las direcciones MAC originales y luego compararlas con las direcciones MAC en la tabla ARP.
- Lo que escribí arriba no es suficiente. Mi plan es detectar ataques en la red, pero el intruso no puede hacerme nada y en su lugar enviar los paquetes ARP a otra máquina en la red. No sé exactamente qué hacer con esta situación, tengo una idea, pero no estoy seguro, tengo algunas preguntas sobre este escenario: ¿Se transmiten todos los paquetes ARP? ¿Puedo escuchar todos los paquetes ARP en la red? ¿Puedo acceder a la tabla ARP del enrutador?
No encontré la respuesta exacta a estas preguntas, necesito tu consejo :).
¿Cómo manejo este problema con Ruby? ¿Dónde debería mirar?