我正在制作可以删除arp欺骗的应用程序:]
我的想法是,如果子网中有攻击者,并且他尝试使用arp中毒MITM,那么我执行traceroute到默认网关(或更改arp缓存条目,无论如何)。
因为我的所有数据包都通过攻击者的PC,所以traceroute会出现一些迹象。
我的想法有问题吗?这是对的吗?不是吗?
答案 0 :(得分:0)
检测arp欺骗的正确方法是使用arpwatch等软件。
arpwatch会看到两台计算机正在争夺同一个IP地址并通知您。
Nov 10 15:59:34 debian arpwatch: changed station 192.168.1.2 0:17:9a:b:f6:f6
(0:17:9a:a:f6:44)
如果你看到这样的条目作为你的IP地址,那么就开始寻找有问题的恶意mac地址来源的switchport。
作为对您问题的一般回答,traceroute是检测此问题的错误方法。只需监控ARP并维护一个mac-address到IP映射的表。