web-dev-qa-db-ja.com

ローカルネットワーク(LAN)でARPポイズニングを検出するWindowsの方法は?

(この質問は このスレッド から来ており、WiFiに限定されない、またはを必要とせずに、より一般的なARPネットワーク検出の参照質問/回答ペアとして残ることを目的としています。質問の元のポスターに与えられた具体的な説明)

ARPポイズニング攻撃がより一般的になっている限り( dSploit Androidの場合、 Cain&Abel の場合Windows、または公共の場所(バー、パブ、レストラン、商業センター、サイバーなど)での Linux )のいくつかの方法、いくつかについて知りたい)ケーブルネットワークでもワイヤレスネットワークでも、Windowsラップトップコンピューターからそれを検出するための高速で簡単な方法

WireShark 不可解なトラフィックデータのキャプチャと長い読み取りが必要ですか?ファイアウォールが必要ですか(時には、彼らが助ける以上に邪魔をします)? Snort のようなものを持っていて、そのすべてのデータを理解できる教祖になることが必須ですか?
在庫切れのWindowsコンピューターでも機能する簡単な方法はありませんか?

(この回答は これ を適応させたもので、WiFiに依存せず、よりシンプルで、より速く、この他の質問により適したものになっています)

確かに、すべての場合に機能するはずの簡単な方法があります。 ARPポイズニングケースでは、ローカルネットワーク(別名サブネットワークまたはLAN)に必ず重複MACアドレス(別名物理アドレス)があるはずなので、それを検出する秘訣は単純:ARPテーブルを一覧表示(これは:コンピューターが認識しているすべてのMAC)および重複をチェック
通常の複製は、ゲートウェイ(インターネットに接続するルーター)として使用されます。
方法:

1.-開く 管理者としてのシェル

cmd

2.- ARPキャッシュをクリア(ネットワーク上に残っている可能性のある切断されたデバイスの場合)数秒待ちます(30秒で十分です):arp -d -a 3.- ARPテーブルの一覧表示実行することにより(出力は中毒の単なる例です):

c:\>arp -a
Interface: 192.168.11.108 --- 0x2
Internet Address IP Physical Address    Type
192.168.0.1         00-17-31-3f-d3-a9   dynamical
192.168.0.102       50-e5-49-c5-47-15   dynamical
192.168.0.107       00-17-31-3f-d3-a9   dynamical
192.168.0.108       00-0a-e4-a0-7f-78   dynamical

4.-ARPテーブルで重複を探します。私の例では、ルーター192.168.0.1192.168.0.107のデバイスが同じMACを共有しているため、コンピューター192.168.0.107が毒殺者である可能性が非常に高くなります。

注:管理者としてのcmdシェルは、手順2(ARPキャッシュのクリア)にのみ必要です。残りのプロセスは、通常の非特権シェルから実行できます。

  • LAN上に複数のデバイスが中毒している可能性がありますか?まあ...それは通常ではなく、ある程度の意味がありません:中毒プロセスは(常にではない)遅くなる(おそらくそれほど多くない)か、クラッシュする可能性さえありますネットワーク全体、およびルーターがポイズナーに大量のトラフィックを送信するために使用するポイズニング(ポイズナーデバイスをハングさせる可能性があります)。しかし、それは起こる可能性があります。とにかく、あなたはまだこの方法を使用してそれを検出することができます。重複をさらに検索するだけです。
  • ルーター以外のデバイスが汚染されている可能性はありますか?はい。時々興味深い部分は、ネットワークプリンター、NAS、コンピューター間で送信されるファイルなどに送信されるデータを傍受することです。
  • 毒殺者はルーターではありません。なぜ、データがルーターではなくポイズナーに送信されても​​、インターネットはまだ実行されているのですか?ポイズナーはトラフィックをルーターに再送信するため、何も気付かないようにします。これは、通常「中間者(MITM)」攻撃と呼ばれる攻撃の一部です。