¿Suricata IPS tiene la capacidad de detectar y prevenir los ataques de envenenamiento ARP? Snort usa un preprocesador que decodifica paquetes ARP y detecta ataques ARP, pero no pude encontrar ninguna de esas capacidades mencionadas para Suricata IPS.
Ataques de Arp relacionados con la capa 2 del modelo OSI. Suricata y Snort IDPS se desarrollan para detectar ataques en el nivel más alto del modelo OSI. Suricata no tiene mecanismo para detectar este tipo de ataques. Snort tiene un preprocesador para detectar ataques de arp, pero eso necesita cierta configuración. He trabajado en eso y no lo encontré útil porque a veces no funciona. El principal inconveniente de snort arpspoof del preprocesador es que tiene que especificar manualmente la dirección IP y de hardware para arpspoof-detect-host. El host y el snort deben estar en el mismo segmento de la capa 2. Para evitar este tipo de ataques, la mejor solución es utilizar el interruptor de dispositivo de capa 2.
Lea otras preguntas en las etiquetas arp-spoofing