Я делаю приложение, которое может обнаруживать спуфинг arp :]
Моя идея заключается в том, что если в подсети есть злоумышленник, и он попытался выполнить MITM, используя отравление arp, то я выполняю traceroute для шлюза по умолчанию (или изменяю запись в кэше arp, что угодно).
Потому что все мои пакеты проходят через компьютер злоумышленника, поэтому traceroute покажет какой-то знак.
Есть ли проблема в моей идее? Это правильно? или не?
Правильный способ обнаружения спуфинга arp — это программное обеспечение, такое как arpwatch.
arpwatch увидит, что две машины борются за один и тот же IP-адрес, и уведомит вас об этом.
Nov 10 15:59:34 debian arpwatch: changed station 192.168.1.2 0:17:9a:b:f6:f6
(0:17:9a:a:f6:44)
Если вы видите такие записи для своего IP-адреса, начните искать порт коммутатора, который является источником рассматриваемого враждебного mac-адреса.
Как общий ответ на ваш вопрос, traceroute - это неправильный способ обнаружить это. Просто отслеживайте ARP и ведите таблицу сопоставления mac-адресов с IP-адресами.
