问题背景:
我使用 arpspoof 测试了我的家庭内部网络。结果很顺利,我能够使用 sslstrip 等工具监听 HTTP 流量。
我执行的 Arpspoof 命令:
arpspoof -i eth0 -t 10.100.4.193 10.100.1.1
其中 4.93 是目标 IP 地址这是本地网络,1.1 是网关。
我如何检测到目标已被入侵:
- 我
traceroute从目标机器上找到了我的路由器网关(10.100.1.1)并找到了我的 arpspoofed 地址。
- 由于经过攻击者的机器,互联网速度有点慢
注意:第一次tracert是默认路由,第二次是我执行arpspoof之后的。
操作系统信息:
攻击者:kali 2.0 sana
受害者:Windows 7
问题:
一旦我感觉自己是 Arpspoof 的受害者,我该怎么办或者需要做什么?
答案1
由于 ARP 流量不跨越路由器,因此基于 ARP 的攻击只有在攻击者控制了 LAN 内的系统后才会起作用,因此您的第一道防线应该集中于从数字和物理两个方面阻止他们。
为了发挥最大破坏性的 ARP 攻击攻击者必须在网络上安装一个设备来接收欺骗者想要的流量。否则他们只能对内部服务进行 DOS 攻击(只需干扰消息传递),并且嗅探机会通过攻击交换机 ARP 表(称为 mac/arp 泛洪或缓存投毒)创建的网络攻击。考虑隔离任何 wifi 网络,使用VLAN或者其他在第 2 层分解网络的结构。
一个常见且万无一失的解决方案是静态 arp 表,如果您的设备支持它们,但它们的管理相当麻烦,因为每次网络拓扑发生变化时都必须重新配置它们。
另一个更可行但不太适用的解决方案是DHCP 侦听,允许 DHCP 驱动的网络忽略与网络 DHCP 服务器中的信息不匹配的 ARP 更新。此功能支持Cisco 设备以...之名Dynamic ARP Inspection。
Linux 实用程序ARP监测可以监控 IP/MAC 配对的 ARP 变化并报告。然后可以扩展到必要时自动响应,例如系统关闭、在 IPTables 中阻止受影响的 IP 等。
先进的交换基础设施允许多种配置来帮助抵御欺骗,包括限制每个接口的 MAC 地址数量(准确地说是 1 个),以及使用以下方式对关键系统之间的网络流量进行数字加密和签名的能力:IP安全协议和证书为了身份。