【问题标题】:Detect ARP Spoofing using traceroute使用 traceroute 检测 ARP 欺骗
【发布时间】:2012-02-20 04:30:11
【问题描述】:
我正在制作可以检测 arp 欺骗的应用程序:]
我的想法是,如果子网中有攻击者,并且他尝试使用 arp 中毒 MITM,那么我执行 traceroute 到默认网关(或更改 arp 缓存条目,等等)。
因为我所有的数据包都通过攻击者的 PC,所以 traceroute 会显示一些迹象。
我的想法有问题吗?合适吗?还是不行?
【问题讨论】:
标签:
networking
arp
traceroute
【解决方案1】:
检测arp欺骗的正确方法是使用arpwatch之类的软件。
arpwatch 会看到两台机器争夺同一个 IP 地址并通知你。
Nov 10 15:59:34 debian arpwatch: changed station 192.168.1.2 0:17:9a:b:f6:f6
(0:17:9a:a:f6:44)
如果您在 IP 地址中看到这样的条目,请开始寻找提供有问题的恶意 MAC 地址的交换机端口。
作为对您问题的一般回答,traceroute 是检测此问题的错误方法。只需监控 ARP 并维护一个 MAC 地址到 IP 映射表。