2
我做的應用,可以detact ARP欺騙檢測ARP欺騙:]使用traceroute的
我的想法是,如果有攻擊者在一個子網,而他使用的ARP中毒試圖MITM,那麼我Exec的traceroute命令默認網關(或更改的ARP緩存條目,無論)。
因爲我所有的數據包都會通過攻擊者的PC,因此traceroute會顯示一些符號。
我的想法有什麼問題嗎?這是否合適?或不?
我做的應用,可以detact ARP欺騙檢測ARP欺騙:]使用traceroute的
我的想法是,如果有攻擊者在一個子網,而他使用的ARP中毒試圖MITM,那麼我Exec的traceroute命令默認網關(或更改的ARP緩存條目,無論)。
因爲我所有的數據包都會通過攻擊者的PC,因此traceroute會顯示一些符號。
我的想法有什麼問題嗎?這是否合適?或不?
檢測arp欺騙的正確方法是使用像arpwatch這樣的軟件。
arpwatch
會看到兩臺機器正在爭奪相同的IP地址並通知您。
Nov 10 15:59:34 debian arpwatch: changed station 192.168.1.2 0:17:9a:b:f6:f6
(0:17:9a:a:f6:44)
如果你看到這樣的條目爲您的IP地址,然後開始尋找有問題源敵對MAC地址的交換機端口。
作爲對您的問題的一般回答,traceroute
是檢測此問題的錯誤方法。只監視ARP並將MAC地址表保存爲IP映射。
目前尚不清楚你的想法*是*。 「某些符號」是什麼意思? – 2012-01-27 04:52:48