Quisiera saber si es posible detectar un ataque mitm o un arp poisoning y si es posible como?
Monitorizando cambios en las tablas ARP, lo cual puedes hacer con algún IDS como Snort o bien como alguna tool como ARPWatch(Linux) o WinARP Watch (Windows).
Saludos
Cita de: Novlucker en 5 Diciembre 2010, 01:32 AM
Monitorizando cambios en las tablas ARP, lo cual puedes hacer con algún IDS como Snort o bien como alguna tool como ARPWatch(Linux) o WinARP Watch (Windows).
Saludos
estoy buscando informacion del tema, y segun he leido, poniendo arp -a y mirando si ha cambiado la direccion del router tb se puede detectar si hay MITM, NO¿?¿?
TB estoy leyendo algo de TRACEROUTE
en plan casero... mira la mac asociada a tu puerta de enlace (suele ser la 192.168.X.1) y mira a ver el fabricante de esa mac (los 2 primeros XX:XX ), si es.... por ejemplo de Intel huele mal xD
Cita de: tragantras en 5 Julio 2011, 00:55 AM
en plan casero... mira la mac asociada a tu puerta de enlace (suele ser la 192.168.X.1) y mira a ver el fabricante de esa mac (los 2 primeros XX:XX ), si es.... por ejemplo de Intel huele mal xD
Bien, osea lo primero si ha cambiado la mac del router es sintoma de que algo pasa, y vamos, yo creo que solo con eso, si tu sabes de sobra cual es la mac del router y ves que no es la que le corresponde, da igual comprobar si es intel o lo que sea :D ya sabes que algo raro pasa, no¡'¡?¿?¿?
Dejo un link interesante sobre este tema http://www.securitybydefault.com/2011/05/arpon-para-defenderse-de-arp.html
Muchas gracias a todos