我正在制作可以检测 arp 欺骗的应用程序:]
我的想法是,如果子网中有攻击者,并且他尝试使用 arp 中毒 MITM,那么我执行 traceroute 到默认网关(或更改 arp 缓存条目,等等)。
因为我所有的数据包都通过攻击者的 PC,所以 traceroute 会出现一些迹象。
我的想法有问题吗?合适吗?或不?
问问题
2639 次
1 回答
0
检测 arp 欺骗的正确方法是使用诸如arpwatch之类的软件。
arpwatch会看到两台机器争夺同一个IP地址并通知你。
Nov 10 15:59:34 debian arpwatch: changed station 192.168.1.2 0:17:9a:b:f6:f6
(0:17:9a:a:f6:44)
如果您看到类似这样的 IP 地址条目,则开始寻找提供有问题的恶意 MAC 地址的交换机端口。
作为您问题的一般答案,traceroute检测此问题的方法是错误的。只需监控 ARP 并维护一个 MAC 地址到 IP 映射的表。
于 2012-02-05T13:27:15.290 回答