Un ataque MitM puede ocurrir desde la capa 2 hacia arriba de la pila TCP / IP. En el ejemplo al que está vinculado, este es un ataque ARP, pero también podría interceptar el tráfico en el nivel de la aplicación (por ejemplo, técnicamente, un proxy web sería un MitM).
MitM es una clase de ataques con el propósito explícito de interceptar el tráfico, ya sea para escuchar o modificar. Como observa @ M'vy, técnicamente, cuando tiene MitM, puede elegir qué hacer con el tráfico que intercepta, por lo que podría eliminar el tráfico que sería un DoS. Sin embargo, hay otras cosas más fáciles de hacer en la red local para DoS (por ejemplo, un DHCP falso y te indican que debes hacer una puerta de enlace o DNS incorrecta).
Si está en la red local y desea ver qué servicios se están ejecutando en la máquina de la víctima, puede hacer un escaneo de puertos Usar algo como nmap
y ver qué servicios se están ejecutando. Si desea ver qué es el tráfico saliente de una víctima, simplemente puede monitorear el tráfico usando algo como wireshark
o algo como p0f
. No es necesario que tenga MitM para ver qué hay dentro del dominio de transmisión. Es posible que MitM sea ruidoso o se detecte, por lo que no querría usarlo solo para ver qué sucede.
En términos de defensa, cosas como 802.1x y Network Admission Control pueden ayudar. Estas técnicas ayudan a garantizar que solo está hablando con puntos finales legítimos y para mantener los nodos no autorizados fuera de la red.
Otras tecnologías que pueden ayudar a prevenir ataques MitM en la capa 2/3:
-
DHCP Snooping - "El caso de uso fundamental para el DHCP snooping es evitar que no se autorice (rogue ) Los servidores DHCP que ofrecen direcciones IP a los clientes DHCP. Los servidores DHCP falsos a menudo se utilizan en el hombre en medio de los ataques de denegación de servicio con fines maliciosos ".
-
ARP dinámico Inspección : "La inspección dinámica de ARP (DAI) es una característica de seguridad que rechaza los paquetes ARP no válidos y maliciosos. La característica evita una clase de ataques de hombre en el medio, donde una estación hostil intercepta el tráfico de otras estaciones mediante envenenando los escondites de ARP de sus confiados vecinos ".
-
IP Source Guard - "P Source Guard es una función de seguridad que restringe el tráfico de IP en puertos no confiables de Capa 2 al filtrar el tráfico según la base de datos de enlaces de indagación DHCP o enlaces de origen IP configurados manualmente ".
Para evitar un ataque DoS, querrá apagar el nodo del atacante local o su red. Es posible que pueda filtrar el tráfico una vez que conozca el MAC / IP del atacante (suponiendo que no cambie constantemente) en su punto final. En el nivel de red, puede configurar su conmutador / enrutador para deshabilitar el puerto del atacante por mal comportamiento. Deberá leer los documentos de su equipo específico para ver si es posible con lo que tiene.