¿Estoy siendo ARP Spoofed?

1

Mi ISP usa IP estáticas (IPv4) para proporcionar una conexión Ethernet. Ahora, recientemente, he estado presenciando una caída seria de velocidad a veces. Llamé a mi ISP para verificar si había algún problema en la red, que siempre me dicen si está de su lado. El ping a Google DNS siempre está bien, es decir. ping 8.8.8.8 -t

Ahora creo que estoy siendo engañado por dos razones. Esta es una conexión de banda ancha de área local que estoy usando, es decir. Mis vecinos están usando la Ethernet del mismo switch que se coloca afuera. incluso las direcciones IP asignadas son secuenciales. Mi IP es 172.16.130.196, mis vecinos tal vez 172.16.130.198 o algo así. Entonces (corríjame si me equivoco) podría hacer un escaneo de las IP disponibles en la red usando algo como AngryIPScanner.

La segunda razón por la que creo que estoy siendo falsificado por ARP es porque cuando ejecuto el comando arp -a en mi terminal de Windows, obtengo varias entradas: como así: -

  

arp -a

Interface: 172.16.130.196 --- 0x4
  Internet Address      Physical Address      Type
  172.16.130.193        00-25-90-ea-31-33     dynamic
  172.16.130.255        ff-ff-ff-ff-ff-ff     static
  224.0.0.22            01-00-5e-00-00-16     static
  224.0.0.252           01-00-5e-00-00-fc     static
  224.0.0.253           01-00-5e-00-00-fd     static
  239.255.67.250        01-00-5e-7f-43-fa     static
  239.255.255.250       01-00-5e-7f-ff-fa     static

La única entrada que reconozco en esta lista es 172.16.130.193 , que es mi puerta de enlace predeterminada. ¿Qué demonios son los otros? ¿Está bien que haya varias entradas en el caché de ARP?

¿Soy una víctima de la falsificación de ARP? Si es así, ¿cómo lo trato? ¿Puedo prohibir la IP en mi firewall o algo así?

Si se requiere más evidencia, hágamelo saber.

    
pregunta Heidi 13.05.2016 - 15:19
fuente

2 respuestas

4

No hay indicios de falsificación de ARP, al menos no en la información que ha proporcionado. Lo que debería ver en caso de falsificación ARP es que su puerta de enlace predeterminada tiene la dirección MAC incorrecta, es decir, deberá verificar la dirección MAC en esta entrada:

172.16.130.193        00-25-90-ea-31-33     dynamic

Todo lo demás son entradas perfectamente válidas:

224.0.0.22            01-00-5e-00-00-16     static
224.0.0.252           01-00-5e-00-00-fc     static
224.0.0.253           01-00-5e-00-00-fd     static
239.255.67.250        01-00-5e-7f-43-fa     static
239.255.255.250       01-00-5e-7f-ff-fa     static

Estas son direcciones de multidifusión, no sus neigbhors. De Dirección de multidifusión de Wikipedia :

  

Las direcciones de multidifusión IPv4 están definidas por los bits de dirección iniciales de 1110, ... El grupo incluye las direcciones desde 224.0.0.0 hasta 239.255.255.255. Las asignaciones de direcciones dentro de este rango se especifican en RFC 5771 ...

172.16.130.255        ff-ff-ff-ff-ff-ff     static

Y esta es la dirección de transmisión de su red

    
respondido por el Steffen Ullrich 13.05.2016 - 15:43
fuente
2

Esto se ve perfectamente bien. Las direcciones en su caché de arp son para difusión (172.16.130.255) y varios grupos de multidifusión. Esto es normal.

Cuando eres víctima de envenenamiento ARP-Cache, no hay direcciones adicionales en esa tabla. Pero la dirección MAC de su enrutador normalmente no coincidirá con la dirección MAC real del enrutador.

Puedes verificar esto ejecutando wireshark y filtrando los paquetes arp. Si está falsificado, habrá una alta frecuencia de paquetes ARP con información falsificada.

    
respondido por el davidb 13.05.2016 - 15:44
fuente

Lea otras preguntas en las etiquetas