Quartz 4

Rilevare ARP Spoofing

2 min read

tags: Rilevare_ARP_Soofing ARP_spoofing_Detection difesa

Indicatori di ARP Spoofing

Durante l’analisi dei log o del traffico di rete, possiamo cercare i seguenti indicatori chiave per un potenziale attacco Man-in-the-Middle tramite ARP spoofing.

  • Mappature MAC-IP duplicate: più indirizzi MAC che rivendicano lo stesso indirizzo IP. Indica un’impersonificazione.

  • Risposte ARP non richieste: elevato numero di risposte ARP senza richieste corrispondenti (“ARP gratuito”).

  • Volume di traffico ARP anomalo: un numero elevato di pacchetti ARP a intervalli brevi.

  • Routing del traffico insolito: traffico reindirizzato attraverso il MAC dell’attaccante.

  • Modelli di reindirizzamento del gateway: più MAC di destinazione per lo stesso IP del gateway.

  • Loop di sonda/risposta ARP: numerose richieste ARP con Who has 192.168.1.x? Tell 192.168.1.y.

Wireshark

Filtri

Filtro veloce ed efficace per trovare il MAC attaccante:

arp.duplicate-address-detected || arp.duplicate-address-frame

Una volta trovato il MAC dell’attaccante puoi vedere le richieste in questo modo:

eth.src==00:0c:29:e2:18:b4 and arp.opcode==1

Verifica rigorosa del MAC attaccante

Filtra tutti i pacchetti arp:

arp

Filtra per richieste ARP:

arp.opcode == 1

Filtra per risposte ARP, molto spesso mostra risposte gratuitous/unasked replies che indicano fortemente un ARP Spoofing:

arp.opcode == 2

Possiamo filtrare anche per risposte gratuitous:

arp.isgratuitous

Abbiamo le informazioni sull’IP e sull’indirizzo MAC associati al gateway. Applichiamo il seguente filtro per esaminare il traffico ARP associato al gateway:

arp && arp.src.proto_ipv4 == 192.168.10.1 && eth.src == 02:aa:bb:cc:00:01

Restringiamo ora il campo all’IP del gateway per indagare ulteriormente sugli indirizzi MAC associati all’IP, utilizzando il seguente filtro:

arp.opcode == 2 && arp.src.proto_ipv4 == 192.168.10.1

Ora potremmo usare anche questo filto:

arp.opcode ==2 && _ws.col.info contains "192.168.10.1 is at"

Ora che abbiamo identificato l’ARP spoofing in azione, restringiamo il campo all’indirizzo MAC dell’aggressore che si è associato all’indirizzo IP del gateway, utilizzando il seguente filtro:

arp.opcode == 2 && arp.src.proto_ipv4 == 192.168.10.1 && eth.src == 02:fe:fe:fe:55:55

L’ultima cosa che possiamo controllare e confermare è filtrare su Verifica mappature di indirizzi MAC duplicati a un singolo indirizzo IP. Che è praticamente equivalente al comando “arp.duplicate-address-detected || arp.duplicate-address-frame”:

arp.opcode == 2 && arp.src.proto_ipv4 == 192.168.10.1 && eth.src == 02:fe:fe:fe:55:55

Graph View