Método do Windows para detectar o envenenamento por ARP na minha rede local (LAN)?

Navegue suas respostas
3

(Esta questão vem de este tópico , e se destina a permanecer como um par de pergunta / resposta de referência para detecção de rede ARP mais genérica não limitada a WiFi, ou sem a necessidade de explicações específicas dadas a esse pôster original da pergunta)

Desde que o ataque de envenenamento ARP esteja se tornando mais comum ( dSploit para Android, Cain&Abel para Windows ou vários métodos para Linux ) em locais públicos (Bares, Pubs, Restaurantes, Centros Comerciais, Cybers ... etc), eu gostaria de saber sobre alguns método rápido e simples para detectá-lo

Preciso de capturas WireShark e leituras longas de dados de tráfego enigmático? Preciso de um FireWall (às vezes eles perturbam mais do que ajudam)? É obrigatório ter algo como Snort e se tornar um guru capaz de entender todos esses dados?
Não existe um método simples que funcione mesmo em computadores Windows fora de estoque?

    
por Sopalajo de Arrierez 08.04.2014 / 23:21

1 resposta

2

(Esta resposta é uma adaptação do este para torná-lo não dependente de WiFi, mais simples, mais rápido e mais apropriado para esta outra questão)

Na verdade, existe um método simples que deve funcionar em todos os casos. Em casos de envenenamento ARP , deve haver necessariamente um endereço MAC duplicado (endereço físico AKA) na sua rede local (sub-rede AKA ou LAN), então o truque para detectá-lo é simples: apenas listar a tabela ARP (isto é: todos os MACs que seu computador conhece) e verificar se há duplicatas .
A duplicata usual costuma ser o gateway (roteador, que conecta você à internet). Método:

1.- Abra Shell como Administrador : 

cmd

2.- Limpe o cache ARP (para possíveis dispositivos desconectados restantes na sua rede) e aguarde alguns segundos (30 segundos devem ser suficientes): arp -d -a 3.- Listar tabela ARP executando (a saída é apenas um exemplo de envenenamento): 

c:\>arp -a
Interface: 192.168.11.108 --- 0x2
Internet Address IP Physical Address    Type
192.168.0.1         00-17-31-3f-d3-a9   dynamical
192.168.0.102       50-e5-49-c5-47-15   dynamical
192.168.0.107       00-17-31-3f-d3-a9   dynamical
192.168.0.108       00-0a-e4-a0-7f-78   dynamical

4.- Procure por duplicatas na tabela ARP. No meu exemplo, o roteador 192.168.0.1 e o dispositivo em 192.168.0.107 compartilham o mesmo MAC, então as chances são muito altas de que o computador 192.168.0.107 seja o envenenador.

NOTA: o shell cmd como administrador é necessário apenas para a etapa 2 (Limpar cache ARP). O restante do processo pode ser feito a partir do shell normal sem privilégios.

  • Pode haver mais de um envenenamento de dispositivo na minha LAN? Bem ... isso não é comum e não tem sentido: o processo de envenenamento pode (não sempre) desacelerar (talvez não muito) ou até mesmo travar toda a rede e o envenenamento que o roteador usa para enviar um grande volume de tráfego para o envenenador (poderia até mesmo desligar o dispositivo envenenador). Mas isso pode acontecer. De qualquer forma, você ainda pode detectá-lo usando esse método. Basta procurar por mais duplicatas.
  • Algum outro dispositivo, exceto o roteador, pode ser o envenenado? Sim. Às vezes, a parte interessante é interceptar os dados enviados para uma impressora de rede, um NAS, arquivos enviados entre computadores ... etc.
  • O envenenador não é um roteador. Por que, se os dados são enviados para o envenenador em vez de para o roteador, ainda tenho a Internet em execução? Como o envenenador reenvia o tráfego para o roteador, em uma tentativa de não notar nada. Esta é uma parte do que é normalmente chamado de ataque "Man in the Middle (MITM)".
por 08.04.2014 / 23:26

Tags

Ocultar completamente arquivos no Linux org-mode 8 processo de exportação assíncrona falha