私は現在arpスプーフィング攻撃(mitm)を研究しています。最も一般的なLinuxディストリビューションは、基本的にこの種の攻撃に対して脆弱であるようです。しかし、簡単な解決策は、ゲートウェイarpエントリを静的に設定するようです。
NetworkManager(dispatcher.d)を使用して静的ゲートウェイarpエントリ(または同じ効果)を自動的に設定する方法はありますか?それともarp中毒を防ぐために設定できるパラメータはsysctl.confにありますか?それともこれを達成する他の方法はありますか?
答え1
概念的にそうです。いくつかのMACアドレスを固定することは可能な解決策ですが(上記の@danielの答えに従って)、多くの欠点があります。
- 静的ARPエントリを追加できますが、攻撃者はまだゲートウェイとMACをなりすまし、両方のシステムが攻撃者のフレームを解析します。
- システムが DHCP を介して L3 構成を取得すると、攻撃者はシステムを攻撃して別のゲートウェイを使用していることを確認できます。この場合、実際のゲートウェイのMACを変更しても影響はありません。
- すべてのシステムには手動設定が必要なため、静的アイテムのリストを維持するのが困難になります。
答え2
まず、以下を使ってテストしてみてください。
arp -s router_hostname router_ethernet_addr
router_ethernet_addrルータのMACアドレス(イーサネットまたは802.11)はどこにありますか?特定のLinuxディストリビューションを確認するには、以下をお読みください。
man arp
可能であれば、arpテーブルへの動的追加を拒否することをお勧めします。
sysctl 'arp_accept=0'
sysctl 'drop_gratuitous_arp=1'
この構文を確認するには、以下をお読みください。
man sysctl
man sysctl.conf
次に、ネットワークで偽のルーター応答をテストし、対応するイーサネット(または802.11)アドレスが許可されていることを確認してください。