¿Cachear ARP para evitar la detección de L2 en la red conmutada?

Navega tus respuestas
1

El uso de nmap en una red conmutada muy grande (/ 16) puede llevar a un número excesivo de solicitudes ARP que pueden detectarse con contadores ARP simples que escuchan solicitudes ARP emitidas.

  1. ¿Hay alguna forma de evitar el descubrimiento del host ARP en una red local?

  2. Durante el escaneo de puertos (TCP SYN), en lugar de disminuir la velocidad de escaneo ( -T2 o menos), ¿hay algún parámetro de nmap o herramientas externas para llenar y congelar el caché ARP? ¿Es una forma efectiva de manejar el riesgo de detección de L2?

pregunta Kartoch 23.04.2015 - 10:53
fuente

1 respuesta

2

No hay forma de evitar el envío de una solicitud ARP para cada dirección IP de destino con la que desea comunicarse en su enlace local. Esto se debe a que la comunicación IP a través de un enlace de tipo ARP (como Ethernet u 802.11a / b / g / n) requiere una solicitud y respuesta ARP para determinar la dirección de hardware (MAC) asociada con la dirección IP que desea contactar.

Como se menciona en los comentarios, Nmap tiene una opción llamada --disable-arp-ping . Sin embargo, esto no deshabilita el envío de solicitudes ARP; simplemente descarga esa responsabilidad al sistema operativo del escáner, lo que requiere respuestas de nivel de red (IP) para considerar que el host de destino está "arriba". En realidad, esto hace que se envíe más tráfico más . Realmente solo es útil en los casos en que las respuestas ARP se están falsificando.

hay opciones de descubrimiento de host que utilizan scripts NSE que no requieren el envío de solicitudes ARP a todas las direcciones de destino posibles, pero es probable que se pierdan al menos algunos hosts:

  • broadcast-ping enviará una solicitud de eco ICMP a la dirección de transmisión de la interfaz. Algunos sistemas responderán a estos, pero no a todos.
  • targets-sniffer detectará el tráfico de red durante un período de tiempo configurable y agregará las direcciones observadas a la cola de destino. Esto requiere que los objetivos envíen tráfico al escáner, generalmente el tráfico de difusión.
  • broadcast-dns-service-discovery y lltd-discovery son dos de los muchos scripts que envían tráfico de difusión o multidifusión para obtener respuestas de servicios particulares en una red.
  • Los scripts targets-ipv6-multicast-* se pueden usar para descubrir direcciones IPv6 en su red local. Además de escanear directamente estas direcciones IPv6, a veces puede usar otras secuencias de comandos de descubrimiento para reunir las direcciones IPv4 del host desde varios servicios de escucha.
  • Otros scripts como ntp-monlist o dns-zone-transfer puede recopilar listas de destinos de ciertos servicios, pero requiere que sepa qué hosts están ejecutando estos servicios.
respondido por el bonsaiviking 23.04.2015 - 15:24
fuente

Lea otras preguntas en las etiquetas

Se ha cargado el script de malware: la CPU se ha agotado al máximo ¿Es Cryptree adecuado para el almacenamiento en la nube?