使用traceroute检测ARP欺骗

时间:2012-01-27 04:28:17

标签: networking arp traceroute

我正在制作可以删除arp欺骗的应用程序:]

我的想法是,如果子网中有攻击者,并且他尝试使用arp中毒MITM,那么我执行traceroute到默认网关(或更改arp缓存条目,无论如何)。

因为我的所有数据包都通过攻击者的PC,所以traceroute会出现一些迹象。

我的想法有问题吗?这是对的吗?不是吗?

1 个答案:

答案 0 :(得分:0)

检测arp欺骗的正确方法是使用arpwatch等软件。

arpwatch会看到两台计算机正在争夺同一个IP地址并通知您。

Nov 10 15:59:34 debian arpwatch: changed station 192.168.1.2 0:17:9a:b:f6:f6
(0:17:9a:a:f6:44)

如果你看到这样的条目作为你的IP地址,那么就开始寻找有问题的恶意mac地址来源的switchport。

作为对您问题的一般回答,traceroute是检测此问题的错误方法。只需监控ARP并维护一个mac-address到IP映射的表。