(Этот ответ является адаптацией этого ответа, чтобы сделать его не зависящим от WiFi, проще, быстрее и более подходящим для этого другого вопроса)
Действительно, есть простой метод, который должен работать во всех случаях.
В случаях отравления ARP в вашей локальной сети (подсети или локальной сети AKA) обязательно должен быть дублированный MAC-адрес (физический адрес AKA), поэтому способ его обнаружения прост: просто перечислите таблицу ARP (это: все MAC-адреса). что ваш компьютер знает) и проверьте наличие дубликатов.
Обычный дубликат используется в качестве шлюза (маршрутизатора, который соединяет вас с интернетом).
Метод:
1.- Откройте Shell как Администратор:
cmd
2.- Очистите кэш ARP (для возможных оставшихся отключенных устройств в вашей сети) и подождите несколько секунд (должно хватить 30 секунд): arp -d -a 3.- Запишите таблицу ARP , выполнив (вывод является лишь примером случая отравление):
c:\>arp -a
Interface: 192.168.11.108 --- 0x2
Internet Address IP Physical Address Type
192.168.0.1 00-17-31-3f-d3-a9 dynamical
192.168.0.102 50-e5-49-c5-47-15 dynamical
192.168.0.107 00-17-31-3f-d3-a9 dynamical
192.168.0.108 00-0a-e4-a0-7f-78 dynamical
4.- Ищите дубликаты в таблице ARP. В моем примере маршрутизатор 192.168.0.1
и устройство на 192.168.0.107
используют один и тот же MAC-адрес, поэтому очень высока вероятность того, что компьютер 192.168.0.107
является отравителем.
ПРИМЕЧАНИЕ: командная оболочка cmd
от имени администратора требуется только для шага 2 (очистить кэш ARP). Остальная часть процесса может быть выполнена из обычной непривилегированной оболочки.
- В моей локальной сети может быть больше одного устройства? Ну ... это не обычно и не имеет определенного смысла: процесс отравления может (не всегда) замедлить (может быть, не сильно) или даже привести к сбою всей сети, а отравление маршрутизатором используется для отправки большого количества трафика отравителю ( может когда-нибудь повесить отравляющее устройство). Но это может случиться. Во всяком случае, вы все еще можете обнаружить это с помощью этого метода. Просто найдите больше дубликатов.
- Может ли какое-либо другое устройство кроме маршрутизатора быть отравленным? Да. Иногда интересным является перехват данных, отправляемых на сетевой принтер, NAS, файлы, передаваемые между компьютерами ... и т.д.
- Отравитель не маршрутизатор. Почему, если данные отправляются отравителю, а не маршрутизатору, у меня все еще работает интернет? Поскольку отравитель пересылает трафик на маршрутизатор, в попытке вы ничего не заметите. Это часть атаки, которая обычно называется «Человек посередине (MITM)».