Обнаружение ARP-спуфинга с использованием traceroute

Question

Я создаю приложение, которое может устранить спуфинг arp:]

Моя идея состоит в том, что если в подсети есть злоумышленник, который попытался выполнить MITM с использованием отравления arp, то я выполняю traceroute на шлюз по умолчанию (изменил запись в кеше arp, что угодно).

Потому что все мои пакеты проходят через компьютер злоумышленника, поэтому traceroute покажет какой-нибудь знак.

Есть ли в моей идее проблема?Это правильно?или нет?

Answer 1

Правильный способ обнаружения спуфинга arp - использовать программное обеспечение, такое как arpwatch .

arpwatch, увидит, что две машины сражаются за один и тот же IP-адрес, и уведомит вас.

Nov 10 15:59:34 debian arpwatch: changed station 192.168.1.2 0:17:9a:b:f6:f6
(0:17:9a:a:f6:44)

Если вы видите записи, подобные этой, для вашего IP-адреса, то начните искать порт коммутатора, являющийся источником рассматриваемого враждебного mac-адреса.

В качестве общего ответа на ваш вопрос, tracerouteэто неправильный способ обнаружить это.Просто следите за ARP и ведите таблицу сопоставлений mac-address и IP.