arp-validator – Herramienta de seguridad para detectar ataques de envenenamiento arp.

0
2730
views

Herramienta de seguridad para detectar ataques de envenenamiento arp.

Características

  • Utiliza un enfoque más rápido en la detección de ataques de envenenamiento por arp en comparación con los enfoques pasivos
  • no solo detecta la presencia de envenenamiento por ARP, sino también la asignación válida de IP-MAC (cuando los hosts LAN utilizan una pila de red no personalizada)
  • Almacena el host validado para mejoras de velocidad
  • Funciona como un proceso de daemon sin interferir con el tráfico normal
  • Log a cualquier archivo externo

Arquitectura

  +-------------+                +---------------+                  +------------+    
  |  ARP packet |    ARP Reply   | Mac-ARP Header|    Consistent    |   Spoof    |
  |   Sniffer   |  ------------> |  consistency  |  --------------> |  Detector  |
  |             |     Packets    |    Checker    |    ARP Packets   |            |
  +-------------+                +---------------+                  +------------+
                                        |                                 /
                                   Inconsistent                         /
                                   ARP Packets                     Spoofed
                                        |                        ARP Packets
                                        V                         /
                                +--------------+                /
                                |              |              /
                                |   Notifier   |  <----------
                                |              |
                                +--------------+

1-ARP Packets Sniffer
sniffea todos los paquetes ARP y descarta

  • Paquetes de solicitud ARP
  • Paquetes de respuesta ARP enviados por la propia máquina que está utilizando la herramienta (suponiendo que el host que ejecuta la herramienta no es un envenenamiento por ARP )

2-Comprobador de coherencia de encabezado Mac-ARP
Coincide

  • direcciones MAC de origen en el encabezado MAC con encabezado ARP
  • direcciones MAC de destino en el encabezado MAC con encabezado ARP

Si alguno de los anteriores no coincide, se lo notificará.

3-Detector de Spoof
Funciona en la propiedad básica de la pila TCP / IP.

Entonces puede haber dos tipos de paquetes:

  • MAC CORRECTA – IP DERECHO
  • MAC CORRECTA – IP INCORRECTO (paquete falso)

Para cada paquete ARP consistente, construiremos un paquete TCP SYN con MAC de destino y dirección IP anunciadas por el paquete ARP con algún puerto de destino TCP aleatorio y la dirección MAC y de IP de origen es la del host que ejecuta la herramienta.
Si se recibe un RST (puerto cerrado) o ACK (el puerto está escuchando) dentro de TIME LIMIT para el SYN, el host (que envió el paquete ARP) es legítimo.
De lo contrario, no se recibe respuesta dentro del LÍMITE DE TIEMPO, por lo que el host no es legítimo y se lo notificará.

4-Notificador
Proporciona notificaciones de escritorio en caso de detección de suplantación de ARP.

Instalación

npm

[sudo] npm install arp-validator -g

Git

git clone https://github.com/rnehra01/arp-validator.git
cd arp-validator
npm install
Use the binary in bin/ to run

Modo de uso

[sudo] arp-validator [action] [options]

actions:

 start  start arp-validator as a daemon

  options:
   --interface, -i
    Network interface on which tool works
    arp-validator start -i eth0 or --interface=eth0

   --hostdb, -d
    stores valid hosts in external file (absolute path)
    arp-validator start -d host_file or --hostdb=host_file

   --log, -l
    generte logs in external files(absolute path)
    arp-validator start -l log_file or --log=log_file


 stop  stop arp-validator daemon


 status  get status of arp-validator daemon


global options:

 --help, -h
  Displays help information about this script
  'arp-validator -h' or 'arp-validator --help'

 --version
  Displays version info
  arp-validator --version

Dependencias

Descarga arp-validator

Toda la información proporcionada en este medio es para fines educativos, en ningún caso alguno se hace responsable e cualquier mal uso de la información. Toda la información es para el desarrollo e investigación de métodos de seguridad informática.

No olvides visitar nuestra hacking shop

shop