red de Arp (evitar el ataque mitm)

Navega tus respuestas
1

En la red de mi escuela, al utilizar Wirehark para ver el tráfico de la red (filter = arp), solo veo paquetes gratuitos. Es decir, todos los hosts en la red envían paquetes gratuitos (por ejemplo, gratuitos para 10.10.3.54, gratuitos para 10.10.3.59, etc.). Creo que esta técnica se utiliza para contrarrestar los ataques mitm. ¿Es realmente? ¿Por qué ?, si todavía es vulnerable al ataque mitm, ¿por qué? ¿Cómo podrías evitarlo entonces? Tenga en cuenta que cuando digo ataque mitm, por lo general me refiero a arp envenenamiento.

+++++++++++

Al utilizar nmap y escanear la subred 10.10.3.0, no hay resultados (solo veo mi ip). Intenté no hacer ping, escaneo rápido, escaneo intensivo). Sí, mi comando comenzó con 10.10.3.0/24.

    
pregunta Bob Ebert 02.10.2015 - 22:58
fuente

2 respuestas

1

No creo que lo gratuito tenga algo que ver con la prevención de ataques MITM. Los hosts generalmente envían paquetes ARP gratuitos cuando se unen a la red para notificar a otros hosts sobre su presencia y su información de IP / arp (incluso si no han recibido una solicitud ARP). El host envía dichos paquetes también en caso de que aparezca su interfaz y en algunos otros casos.

Algunos interruptores tienen una protección integrada contra los ataques de envenenamiento ARP. CISCO llama a esta técnica "Inspección dinámica de ARP". En resumen, antes de reenviar un paquete ARP, verifica si el servidor DHCP realmente emitió la dirección IP anunciada a un host con la dirección ARP específica.

Si desea rastrear todos los paquetes en un segmento de red, tendrá que tener un adaptador de red / wifi que admita el modo promiscuo (y ese modo debería estar habilitado). En una red cableada, el conmutador de red, por supuesto, no le reenviará todo el tráfico, sino solo el tráfico que se envía a su dirección MAC. Debido a eso, sería una buena idea que ARP envenene la red y obligue al conmutador a reenviarle más tráfico del que debería.

Con respecto a su última nota, le sugeriría que pruebe un escaneo ARP con nmap: 

nmap –PR target
    
respondido por el pineappleman 03.10.2015 - 13:13
fuente
0

En una breve, una PC envía paquetes gratuitos para actualizar los cachés de otras PC.
Es utilizado por un atacante en mitm attack para envenenar la caché de arp, y también puede usarse para detener ese ataque mediante el uso de algún tipo de conmutadores que pueden detectar la red en busca de paquetes de arp gratuitos y reenviar los datos correctos la red.

    
respondido por el Emadeddin 02.10.2015 - 23:31
fuente

Lea otras preguntas en las etiquetas

Verificación del certificado en TLS Intentando comprender el nivel de riesgo aproximado de los inicios de sesión de administrador de CMS en http