情况是:一个有 200-300 人的大厅,其中一个正在执行 arp-cache 中毒攻击。或以任何方式通过 wifi 干扰我的网络。有没有办法确定他的位置?使用某种定向天线之类的?我不需要很准确,当我有方向的时候,我很可能会找到可疑的。我知道这几乎是不可能的,但如果有人知道有什么建议和尝试,我真的很感激。感谢您的任何想法。
检测 arp-cache 中毒者/欺骗者
信息安全
ARP欺骗
2021-09-11 07:51:26
3个回答
玩转 kismet - 使用定向天线或走动一下,您应该能够找到 arp 流量最强的来源 - 其中一个是合法用户,另一个不是那么多。
除了您的 PC(带有 linux)之外,没有任何硬件,您可以
使用 Wireshark 确定他的 mac 地址,并在您穿过大厅时使用 airodump-ng 查看他的信号强度。问题:这是一个大厅,所以可能会引起高度共鸣。
检查他的wifi卡供应商(带有他的mac地址)以了解他拥有什么PC,尽管他肯定使用了mac-changer(即使他没有这样做也会迫使您验证嵌入此特定wifi的所有制造商-卡片)
蜜罐。在您的计算机上运行一个嵌入了一些 Metasploit 的 http 辅助工具的小型网络服务器,并从另一台计算机连接到它。如果他正在使用 Wireshark 监控流量,运气好的话,他会看到并连接到它(一个没有域名的小型服务器,在本地运行总是很奇怪,值得检查)。如果他在日常生活中使用相同的浏览器,您将能够捕捉到他的 Gmail 地址、Facebook 名称甚至他的密码(然而,我已经测试了好几年了,我不知道你是否还能抓住这些模块的密码)。
然而,如果他是一个小心的攻击者,这些都不会起作用(在某种程度上可能除了第一个)
祝你好运 !