私はarpスプーフィングを検出できるアプリケーションを作成しています:]
私の考えでは、サブネットに攻撃者がいて、彼がarpポイズニングを使用してMITMを試みた場合、tracerouteをデフォルトゲートウェイに実行します(またはarpキャッシュエントリを変更します)。
すべてのパケットが攻撃者のPCを通過するため、tracerouteに何らかの兆候が現れます。
私の考えに何か問題はありますか?それは適切ですか?か否か?
2639 次
1 に答える
0
arp スプーフィングを検出する適切な方法は、arpwatchなどのソフトウェアを使用することです。
arpwatch2 台のマシンが同じ IP アドレスをめぐって争っていることを確認し、通知します。
Nov 10 15:59:34 debian arpwatch: changed station 192.168.1.2 0:17:9a:b:f6:f6
(0:17:9a:a:f6:44)
IP アドレスにこのようなエントリが表示された場合は、問題の敵対的な MAC アドレスの送信元であるスイッチポートを探し始めます。
あなたの質問に対する一般的な答えとして、tracerouteこれを検出する間違った方法です。ARP を監視し、MAC アドレスから IP へのマッピングのテーブルを維持するだけです。
于 2012-02-05T13:27:15.290 に答える