Arpwatch - Detecte em sua rede ataques de Arp Spoofing/Arp Poisoning

Arpwatch é uma ferramenta que monitora a atividade em uma rede ethernet, mantendo atualizada uma tabela com endereços ethernet (MAC) e seus respectivos endereços IP. Essa ferramenta tem a capacidade de reportar via e-mail certas mudanças.

[ Hits: 41.880 ]

Por: Frederico Madeira em 30/01/2008


Testando



A forma de testarmos é rodarmos um ataque de arp spoofing em nossa própria rede. Para o teste foi utilizado o aplicativo ettercap.

Os seguintes hosts foram utilizados:

Endereço IPEndereço MACDescrição
192.168.0.22400:11:25:8A:87:9BHost do Atacante
192.168.0.300:10:C6:B9:68:F5Gateway da rede, host a ser realizado o spoof


Após o início do ataque foram recebidos os seguintes alertas:

MSG1: Arpwatch detecta a mudança do PAR MAC/IP
Subject: changed ethernet address
hostname:
ip address: 192.168.0.3
ethernet address: 0:11:25:8a:87:9b
ethernet vendor: IBM Corporation
old ethernet address: 0:10:c6:b9:68:f5
old ethernet vendor: USI
timestamp: Friday, January 4, 2008 11:16:06 -0300
previous timestamp: Friday, January 4, 2008 11:16:06 -0300
delta: 0 seconds

MSG2: Arpwatch detecta que o par está oscilando, característica do ataque de arp spoofing. Ele recebe pacotes ARP do com o MAC correto e em seguida, vários outros como MAC errado.
Subject: flip flop
hostname:
ip address: 192.168.0.3
ethernet address: 0:10:c6:b9:68:f5
ethernet vendor: USI
old ethernet address: 0:11:25:8a:87:9b
old ethernet vendor: IBM Corporation
timestamp: Friday, January 4, 2008 11:16:22 -0300
previous timestamp: Friday, January 4, 2008 11:16:21 -0300
delta: 1 second

MSG3: Arpwatch detecta que o par está oscilando, característica do ataque de arp spoofing. Ele recebe pacotes ARP do com o MAC correto e em seguida, vários outros como MAC errado.
Subject:flip flop
hostname:
ip address: 192.168.0.3
ethernet address: 0:11:25:8a:87:9b
ethernet vendor: IBM Corporation
old ethernet address: 0:10:c6:b9:68:f5
old ethernet vendor: USI
timestamp: Friday, January 4, 2008 11:16:31 -0300
previous timestamp: Friday, January 4, 2008 11:16:22 -0300
delta: 9 seconds

Conclusão

Dessa forma demonstramos como utilizar o arpwatch para monitorar o tráfego ARP de sua rede, e provamos sua eficiência na detecção de ataques de Arp Spoofing/Arp Poisoning.

A quantidade de alertas depende de alguns fatores. Um deles é se a rede está configurada com ip estático ou dinâmico. Se for via DHCP, é importante verificar o tempo em que o servidor mantém o endereço IP para o MAC. Se esse tempo for pequeno, é possível que a cada renovação de endereço, você recebe um alerta. Vale a pena ficar atento a esse detalhe.

Abraços.

Frederico Madeira
www.madeira.eng.br

Página anterior    

Páginas do artigo
   1. Introdução
   2. Exemplo de alerta
   3. Testando
Outros artigos deste autor

Instalando o Cisco VPN Client no Linux

Instalando o Asterisk no CentOS 5.3

Leitura recomendada

Escondendo banners de serviços

Servidor SSH (Secure Shell Hosting)

Criptografia de disco

Filtro de conteúdo e vírus: Slackware 10.2 + Squid + Dansguardian + Clamav

Slackware vs PAM

  
Comentários

Nenhum comentário foi encontrado.


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts