Arpwatch - Detecte em sua rede ataques de Arp Spoofing/Arp Poisoning

fred_m

Arpwatch é uma ferramenta que monitora a atividade em uma rede ethernet, mantendo atualizada uma tabela com endereços ethernet (MAC) e seus respectivos endereços IP. Essa ferramenta tem a capacidade de reportar via e-mail certas mudanças.

[ Hits: 42.623 ]

Por: Frederico Madeira em 30/01/2008

1 0

Denuncie Favoritos Indicar Impressora

Testando

A forma de testarmos é rodarmos um ataque de arp spoofing em nossa própria rede. Para o teste foi utilizado o aplicativo ettercap.

Os seguintes hosts foram utilizados:

Endereço IP	Endereço MAC	Descrição
192.168.0.224	00:11:25:8A:87:9B	Host do Atacante
192.168.0.3	00:10:C6:B9:68:F5	Gateway da rede, host a ser realizado o spoof

Após o início do ataque foram recebidos os seguintes alertas:

MSG1: Arpwatch detecta a mudança do PAR MAC/IP
Subject: changed ethernet address
hostname:
ip address: 192.168.0.3
ethernet address: 0:11:25:8a:87:9b
ethernet vendor: IBM Corporation
old ethernet address: 0:10:c6:b9:68:f5
old ethernet vendor: USI
timestamp: Friday, January 4, 2008 11:16:06 -0300
previous timestamp: Friday, January 4, 2008 11:16:06 -0300
delta: 0 seconds

MSG2: Arpwatch detecta que o par está oscilando, característica do ataque de arp spoofing. Ele recebe pacotes ARP do com o MAC correto e em seguida, vários outros como MAC errado.
Subject: flip flop
hostname:
ip address: 192.168.0.3
ethernet address: 0:10:c6:b9:68:f5
ethernet vendor: USI
old ethernet address: 0:11:25:8a:87:9b
old ethernet vendor: IBM Corporation
timestamp: Friday, January 4, 2008 11:16:22 -0300
previous timestamp: Friday, January 4, 2008 11:16:21 -0300
delta: 1 second

MSG3: Arpwatch detecta que o par está oscilando, característica do ataque de arp spoofing. Ele recebe pacotes ARP do com o MAC correto e em seguida, vários outros como MAC errado.
Subject:flip flop
hostname:
ip address: 192.168.0.3
ethernet address: 0:11:25:8a:87:9b
ethernet vendor: IBM Corporation
old ethernet address: 0:10:c6:b9:68:f5
old ethernet vendor: USI
timestamp: Friday, January 4, 2008 11:16:31 -0300
previous timestamp: Friday, January 4, 2008 11:16:22 -0300
delta: 9 seconds

Conclusão

Dessa forma demonstramos como utilizar o arpwatch para monitorar o tráfego ARP de sua rede, e provamos sua eficiência na detecção de ataques de Arp Spoofing/Arp Poisoning.

A quantidade de alertas depende de alguns fatores. Um deles é se a rede está configurada com ip estático ou dinâmico. Se for via DHCP, é importante verificar o tempo em que o servidor mantém o endereço IP para o MAC. Se esse tempo for pequeno, é possível que a cada renovação de endereço, você recebe um alerta. Vale a pena ficar atento a esse detalhe.

Abraços.

Frederico Madeira
www.madeira.eng.br

Página anterior

Páginas do artigo

   1. Introdução
   2. Exemplo de alerta
   3. Testando

Outros artigos deste autor

Instalando o Cisco VPN Client no Linux

Instalando o Asterisk no CentOS 5.3

Leitura recomendada

Automatizando as atualizações no Linux

(IN)segurança Digital

Administrando Linux via web (parte 1)

Análise de Malware em Forense Computacional

Entendendo um pouco sobre os daemons