Re: ARP Poisoning

Puoi scoprirli con i metodi che ti hanno suggerito o (a seconda dei soldi che hai, per hw e sw) con un IDS, collegato alla porta di spam (o mirror) dello switch. Per esempio puoi usare il suggerito arpwatch o snort (+acid volendo) sempre su quella porta.

Riccardo Crippa wrote:

> Dopo tanto lurkare ..... posto la prima domanda.
> Ciao a tutti.
> Premetto che non sono un professionista dell'IT Security ma
> semplicemente un appassionato.
>
> Da varie prove effettuate con diversi software, lo sniffing di pacchetti
> su LAN switchate è oramai una cosa alla portata di quasi tutti gli
> utenti, anche senza particolari skill tecniche.
>
> La domanda è:
> Quali metodi si possono usare per capire se qualche utente utilizza
> questa tecnica?
> Soprattutto se la LAN utilizza DHCP, è abbastanza laborioso tenere
> traccia delle coppie IPaddress-MACaddress.
> Sia dal punto di vista di un utente (capire se la tua macchina è
> arp-poisoned), sia dal punto di vista del sysadmin (capire se e chi stà
> ARPspooofando-sniffando).
> Grazie in anticipo per l'attenzione.
>
> N.B. Non ho trovato un thread in ML simile a questo, se dovesse esserci
> già stato, chiedo venia.
> bYeZ
>
> rYc
> GnuPG Key Fingerprint:
> FF4C 95E1 5DA0 5685 526C E3AD 098C 27F0 45A9 C5E5
>
> ________________________________________________________
> http://www.sikurezza.org - Italian Security Mailing List

--
Dario Lombardo
Centro Sicurezza Be-Secure
TILAB - Telecom Italia LAB



________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List