¿Cómo saber si está siendo envenenado con ARP?

16

Tengo algunos problemas en el trabajo y hay un nuevo administrador de red instalado. Creo que estoy siendo monitoreado, así que decidí ejecutar ArpSpy X en dos escenarios:

  1. A través del puente WiFi conectado al enrutador de Cisco, tomó nota de la dirección IP y MAC del enrutador. Luego hice una búsqueda del proveedor y se muestra como un enrutador de Cisco (que debería), pero también tengo otra entrada de Mac para la misma IP (la IP del enrutador) de FF:FF:FF:FF:FF .
  2. Luego, a través de Hardwired via Ethernet solo veo la dirección FF:FF.... para la IP del enrutador.

En este momento, solo uso la red a través de VPN (OpenVPN) con un proveedor de VPN externo para estar seguro.

¿Alguien puede decirme si la doble dirección MAC por cable y el FF:FF:FF.... es normal o estoy siendo paranoico?

    
pregunta user20214 31.01.2013 - 02:21
fuente

4 respuestas

22

FF: FF: FF: FF: FF: FF es la dirección MAC de difusión y está asociada con la dirección IP de difusión en la tabla ARP (comando arp -a ). Alguien podría estar envenenándolo, pero podría haber confundido la dirección IP de transmisión con la dirección IP de la puerta de enlace .

Aquí hay herramientas que proporcionan seguridad ARP al alertar o detener los ataques:

  • XArp : detección avanzada de suplantación ARP, sondeo activo y verificaciones pasivas. Dos interfaces de usuario: vista normal con niveles de seguridad predefinidos, vista pro con configuración por interfaz de módulos de detección y validación activa. Windows y Linux, basado en GUI.
  • Snort : Snort preprocesador Arpspoof , detecta la suplantación de arp.
  • Arpwatch : el programa de monitoreo de Ethernet; para realizar un seguimiento de los emparejamientos de direcciones ethernet / ip,
  • ArpON : Demonio de controlador portátil para proteger ARP contra falsificaciones, envenenamientos de caché o ataques de enrutamiento en redes estáticas, dinámicas e híbridas.
  • Antidote : daemon de Linux, supervisa las asignaciones, un número inusualmente grande de paquetes ARP.
  • Arp_Antidote : parche del kernel de Linux para 2.4.18 - 2.4.20, vigila las asignaciones, puede definir las acciones que deben tomarse en el momento.
  • ArpAlert : escucha en una interfaz de red (sin usar el modo 'promiscuo') y detecta todas las conversaciones de la dirección MAC a la solicitud de IP . Luego compara las direcciones mac que detectó con una lista preconfigurada de direcciones MAC autorizadas. Si el MAC no está en la lista, arpalert lanza un script de usuario predefinido con la dirección MAC y la dirección IP como parámetros. Este software puede ejecutarse en modo demonio; Es muy rápido (bajo consumo de CPU y memoria). Responde en la señal SIGHUP (recarga de configuración) y en las señales SIGTERM, SIGINT, SIGQUIT y SIGABRT (arpalert se detiene)
  • ArpwatchNG : controla las direcciones de mac en su red y las escribe en un archivo. Última hora conocida y la notificación de cambio está incluida. utilícelo para monitorear direcciones MAC desconocidas (y como tales, probablemente intrusos) o alguien que esté jugando con su arp_ / dns_tables.

enlace

    
respondido por el Cristian Dobre 31.01.2013 - 15:50
fuente
7

También existe una secuencia de comandos Bro que detecta de forma pasiva la falsificación de ARP. Supervisa las solicitudes de ARP y responde a posibles falsificaciones. Así lo describe el autor:

  
  1. Un atacante que utiliza la falsificación ARP como su método puede enviar respuestas gratuitas (que se refieren a una correspondencia de IP a MAC existente) o al enviar muchas solicitudes a una o más víctimas con una dirección de hardware y / o un protocolo de remitente falsificados. campos de direccion Este script comprueba los paquetes ARP gratuitos que son respuestas no solicitadas, así como las solicitudes ARP enviadas muchas veces con la misma información. Un atacante deberá enviar muchos de los dos tipos de paquetes falsificados para continuar el ataque (de lo contrario, la víctima dejará de dirigir su tráfico a una ubicación provista por el atacante).

  2.   
  3. Este script aprovecha el conocimiento de las transacciones DHCP, un estado consistente de solicitudes y respuestas de ARP, y otras métricas para proporcionar información más precisa sobre posibles ataques. Para que un atacante niegue un servicio a la víctima o inicie un ataque MITM, el atacante deberá proporcionar una dirección MAC falsificada de la puerta de enlace de la víctima. Para mantener un ataque continuo, el atacante enviará muchos paquetes falsificados, que se pueden contar. Es posible que estos paquetes falsificados cambien las asignaciones de IP a MAC, que también se pueden detectar.

  4.   

Actualmente, se encuentra en un repositorio separado de github , pero eventualmente nos integraremos en master.

    
respondido por el mavam 31.01.2013 - 17:03
fuente
4

La mejor y más confiable manera, si está familiarizado con las redes, es iniciar una copia de Wirehark y buscar solicitudes sospechosas.

También puede ver una copia impresa simple de traceroue entre usted e Internet, si ve saltos que no deberían estar allí, entonces es posible que esté siendo atacado.

Además, simplemente haciendo ping a todas las máquinas locales (nmap -sP 192.168.1.0/24 lo hará rápidamente) y luego revisando la tabla ARP (arp -an) en busca de duplicados, puede detectar el envenenamiento ARP con bastante rapidez.

Los siguientes enlaces deberían ayudar:

StarDotHosting

OSTalks.com

Espero que ayude!

    
respondido por el NULLZ 31.01.2013 - 02:37
fuente
-1

Para las conexiones inalámbricas, puede utilizar la herramienta de línea de comandos 'arp'.

Esta herramienta tiene la propiedad no deseada de mostrar su enrutador en la primera línea de su salida. La salida impresa con este pedido fue aparentemente accidental (aprendí esto de alguien que supuestamente se comunicó con los desarrolladores al respecto), pero es confiable.

Nuevamente, solo en las conexiones inalámbricas, este comando mostrará una lista de su puerta de enlace, falsificada o no, en la primera línea de la salida. Si esa línea coincide con la computadora de otra persona en la red que no sea el enrutador, su tabla de arp está envenenada.

    
respondido por el Rondo 28.08.2016 - 08:13
fuente

Lea otras preguntas en las etiquetas