Обнаружение ARP подмены с помощью трассировку

Question

Я делаю приложение, которое может detact агр подмену:]

Моя идея заключается в том, что если есть злоумышленник в подсети, и он пытался MITM, используя агр отравление, то я EXEC трассировку по умолчанию шлюз (или измененная запись кэша arp, что угодно).

Потому что все мои пакеты проходят через ПК злоумышленника, поэтому traceroute покажет какой-то знак.

Есть ли какие-либо проблемы в моей идее? Это правильно? или нет?

Answer 1

Правильный способ обнаружения спуфинга arp с помощью программного обеспечения, такого как arpwatch.

arpwatch будет видеть, что две машины сражаются по одному и тому же IP-адресу и уведомляют вас.

Nov 10 15:59:34 debian arpwatch: changed station 192.168.1.2 0:17:9a:b:f6:f6 
(0:17:9a:a:f6:44) 

Если вы видите записи, как это для вашего IP-адреса, а затем начинают искать что источники порта коммутатора враждебное MAC-адрес в вопросе.

Как общий ответ на ваш вопрос, traceroute - это неправильный способ обнаружить это. Просто контролируйте ARP и поддерживайте таблицу MAC-адресов для IP-сопоставлений.