使用traceroute检测ARP欺骗
我正在制作可以检测 arp 欺骗的应用程序:]
我的想法是,如果子网中有攻击者,并且他尝试使用 arp 中毒进行 MITM,那么我将执行跟踪路由到默认网关(或更改 arp 缓存条目,等等)。
因为我所有的数据包都经过攻击者的电脑,所以跟踪路由会显示一些迹象。
我的想法有问题吗?合适吗?或不?
I'm making application that can detact arp spoofing :]
My idea is that if there is attacker in subnet, and he tried to MITM using arp poisoning, then I exec traceroute to default gateway(or changed arp cache entry, whatever).
Cuz all my packets go through attacker's PC, so traceroute will show up some sign.
Is there any problem in my idea? Is it proper? or not?
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(1)
检测 arp 欺骗的正确方法是使用 arpwatch 这样的软件。
arpwatch将发现两台机器正在争夺同一 IP 地址并通知您。如果您看到类似这样的 IP 地址条目,请开始寻找源出有问题的恶意 mac 地址的交换机端口。
作为您问题的一般答案,
traceroute是检测此问题的错误方法。只需监视 ARP 并维护 mac 地址到 IP 映射的表即可。The proper way to detect arp spoofing is with software like arpwatch.
arpwatchwill see that two machines are fighting over the same IP address and notify you.If you see entries like this for your IP address, then start looking for the switchport that sources the hostile mac-address in question.
As a general answer to your question,
tracerouteis the wrong way to detect this. Just monitor ARPs and maintain a table of mac-address to IP mappings.