¿Cómo descubre la policía o alguien que se realizó un ataque de Arp Spoofing?

Navega tus respuestas
1

Si ve el tráfico en tiempo real, puede ver que un atacante que realiza un ataque de MiTM realiza una falsificación ARP porque las direcciones MAC se duplicarán, etc. Y, bueno, puede ver todas las direcciones MAC y ver quién es un enrutador y Compruebe si las direcciones MAC del enrutador coinciden.

Pero, ¿y si sabemos que un ataque se realizó ayer, por ejemplo? ¿Cómo podemos saber qué dirección MAC fue la falsificación ARP y el envío de certificados falsos (supongamos que el usuario lo ha aceptado)? Digamos que un atacante robó algunas credenciales de cuenta bancaria en un sitio que usa HTTPS. ¿Es incluso posible?

    
pregunta andrea 05.05.2014 - 14:36
fuente

2 respuestas

2

Comprobando registros. El gran secreto de la disección de lo ocurrido después de un ataque. Verter los registros para encontrar la actividad maliciosa y ver qué es. Si no hay registros, no se puede decir.

Dónde buscar los registros también es la mitad de la batalla porque, dependiendo de la naturaleza exacta del ataque, es posible que necesite registros del cliente, un servidor o un enrutador o alguna combinación de los 3. Realmente depende de cómo Se realizó el ataque.

    
respondido por el AJ Henderson 05.05.2014 - 16:15
fuente
1

Para descubrir que ocurrió un ataque ARP, simplemente necesita ver el contenido de las tablas ARP del kernel e intentar encontrar, por ejemplo, una dirección IP duplicada sospechosa o una falsa. Para mostrar la tabla ARP en el sistema Linux: 

# arp -a
    
respondido por el TMR_OS 05.05.2014 - 16:41
fuente

Lea otras preguntas en las etiquetas

Conexión segura entre dos clientes dentro de una wifi sin conexión a internet ¿Cómo funciona la función "Cerrar sesión en todas las demás sesiones" en Gmail?