Arpwatch - Detecte em sua rede ataques de Arp Spoofing/Arp Poisoning

fred_m

Arpwatch é uma ferramenta que monitora a atividade em uma rede ethernet, mantendo atualizada uma tabela com endereços ethernet (MAC) e seus respectivos endereços IP. Essa ferramenta tem a capacidade de reportar via e-mail certas mudanças.

[ Hits: 42.893 ]

Por: Frederico Madeira em 30/01/2008

1 0

Denuncie Favoritos Indicar Impressora

Exemplo de alerta

Ex1:

Subject: new station
hostname:
ip address: 192.168.0.185
ethernet address: 0:d:f4:3:3:1e
ethernet vendor: Watertek Co.
timestamp: Friday, January 4, 2008 10:40:44 -0300

Ex2:

Subject: new station
hostname:
ip address: 192.168.0.245
ethernet address: 0:30:a:5b:73:24
ethernet vendor: AZTECH SYSTEMS LTD.
timestamp: Friday, January 4, 2008 10:40:56 -0300

Entendendo as mensagens

new activity
Esse par de endereço MAC e endereço IP já foi utilizado a seis meses ou mais.

new station
Esse endereço ethernet (MAC) nunca foi visto antes.

flip flop
O endereço ethernet foi alterado do primeiro mais recente para o segundo mais recente.

changed ethernet address
O Host mudou para um novo endereço ethernet (MAC)

Página anterior Próxima página

Páginas do artigo

   1. Introdução
   2. Exemplo de alerta
   3. Testando

Outros artigos deste autor

Instalando o Asterisk no CentOS 5.3

Instalando o Cisco VPN Client no Linux

Leitura recomendada

Aplicação do firmware intel-microcode no Slackware

Melhorias generalizadas de segurança (parte 1)

Técnicas forenses para identificação da invasão e do invasor em sistemas Unix/Linux através do SSH (parte 2)

Firefox 2 e seu recurso de proteção contra Web Phishing

Mudança de hábito: autenticando usuários em base de dados MySQL