He intentado realizar un ataque mitm en una de mis computadoras que tiene instalado el antivirus Eset. Una vez que puse todo en su lugar y comencé el ataque, el antivirus en mi PC detectó y bloqueó el ataque de inmediato.
Entonces, me gustaría saber cómo el antivirus pudo detectar el ataque.
EDITAR: Para ser más claros: traté de interceptar datos http / https reenviando el puerto 80 & 443 con iptables. Luego usé el comando arpspoof junto con mitmproxy para el ataque.
Lo más probable es que su intento haya sido detectado debido al ataque de suplantación de arp. Este ataque envía varios paquetes de arp en un período de tiempo muy corto, que contiene una dirección IP que ya está en uso. Cuando un antivirus (o IPS / IDS) ve una máquina con este comportamiento, la clasifica automáticamente como maliciosa y, según el software, puede incluir la IP en la lista negra.
Para comprender la anatomía de un ataque de suplantación de Arp, consulte esta página o este video que detalla el ataque.
Lea otras preguntas en las etiquetas network man-in-the-middle antivirus