3

(Этот вопрос взят из этой ветки и предназначен для использования в качестве эталонной пары вопрос / ответ для более общего обнаружения сети ARP, не ограниченного WiFi, или без необходимости конкретных объяснений, данных этому оригинальному постеру вопроса)

Пока атака ARP Poisoning становится все более обычной (dSploit для Android, Cain & Abel для Windows или несколько методов для Linux) в общественных местах (бар, пабы, рестораны, торговые центры, кибер-сайты и т.д.), Я бы хотел знать о каком-то быстром и простом методе его обнаружения с моего ноутбука Windows, независимо от того, нахожусь ли я в кабельной или беспроводной сети.

Нужен ли мне для перехватов WireShark и длинных чтений данных загадочного трафика? Нужен ли мне FireWall (иногда они мешают больше, чем помогают)? Обязательно иметь что-то вроде Snort и стать гуру, способным понимать все эти данные?
Есть ли какой-нибудь простой метод, который работает даже на стандартных компьютерах с Windows?

1 ответ1

2

(Этот ответ является адаптацией этого ответа, чтобы сделать его не зависящим от WiFi, проще, быстрее и более подходящим для этого другого вопроса)

Действительно, есть простой метод, который должен работать во всех случаях. В случаях отравления ARP в вашей локальной сети (подсети или локальной сети AKA) обязательно должен быть дублированный MAC-адрес (физический адрес AKA), поэтому способ его обнаружения прост: просто перечислите таблицу ARP (это: все MAC-адреса). что ваш компьютер знает) и проверьте наличие дубликатов.
Обычный дубликат используется в качестве шлюза (маршрутизатора, который соединяет вас с интернетом).
Метод:

1.- Откройте Shell как Администратор:

cmd

2.- Очистите кэш ARP (для возможных оставшихся отключенных устройств в вашей сети) и подождите несколько секунд (должно хватить 30 секунд): arp -d -a 3.- Запишите таблицу ARP , выполнив (вывод является лишь примером случая отравление):

c:\>arp -a
Interface: 192.168.11.108 --- 0x2
Internet Address IP Physical Address    Type
192.168.0.1         00-17-31-3f-d3-a9   dynamical
192.168.0.102       50-e5-49-c5-47-15   dynamical
192.168.0.107       00-17-31-3f-d3-a9   dynamical
192.168.0.108       00-0a-e4-a0-7f-78   dynamical

4.- Ищите дубликаты в таблице ARP. В моем примере маршрутизатор 192.168.0.1 и устройство на 192.168.0.107 используют один и тот же MAC-адрес, поэтому очень высока вероятность того, что компьютер 192.168.0.107 является отравителем.

ПРИМЕЧАНИЕ: командная оболочка cmd от имени администратора требуется только для шага 2 (очистить кэш ARP). Остальная часть процесса может быть выполнена из обычной непривилегированной оболочки.

  • В моей локальной сети может быть больше одного устройства? Ну ... это не обычно и не имеет определенного смысла: процесс отравления может (не всегда) замедлить (может быть, не сильно) или даже привести к сбою всей сети, а отравление маршрутизатором используется для отправки большого количества трафика отравителю ( может когда-нибудь повесить отравляющее устройство). Но это может случиться. Во всяком случае, вы все еще можете обнаружить это с помощью этого метода. Просто найдите больше дубликатов.
  • Может ли какое-либо другое устройство кроме маршрутизатора быть отравленным? Да. Иногда интересным является перехват данных, отправляемых на сетевой принтер, NAS, файлы, передаваемые между компьютерами ... и т.д.
  • Отравитель не маршрутизатор. Почему, если данные отправляются отравителю, а не маршрутизатору, у меня все еще работает интернет? Поскольку отравитель пересылает трафик на маршрутизатор, в попытке вы ничего не заметите. Это часть атаки, которая обычно называется «Человек посередине (MITM)».

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .