Как детектировать MitM атаку ?

Автор ek-nfn, 13 апреля 2024, 09:28:38

« назад - далее »

0 Пользователи и 2 гостей просматривают эту тему.

ek-nfn

В частности в локальной wi-fi сети. Есть у кого отработанные приемы ?
Debian 12  -> Devuan 5 xfce -> MX Linux 23

dzhoser

 Примеры, как могут «наследить» некоторые инструменты:

    MITMf, по умолчанию меняет все HTTPS URL в HTMLкоде на HTTP. Выявляется по сравнению содержимого HTTP.
    Zarp + MITMProxy, MITMProxy имеет функционал, позволяющий очищать HTTP сжатие, это применяется для прозрачности передаваемого трафика, эта связка выявляется по исчезновению ранее присутствующего сжатия
    Responder, выявляется по внезапным изменениям в преобразовании ответов mDNS: неожиданный ответ; ответ является внутренним, а ожидается внешний; ответ отличен от ожидаемого IP
Но если мы говорим про внутреннюю локалюную сеть, то необходимо использовать таблицы ARP.
Ubuntu->Linux mint->Astra Linux SE->Debian 12
Для новичков

ek-nfn

Цитата: dzhoser от 13 апреля 2024, 09:46:22Но если мы говорим про внутреннюю локалюную сеть, то необходимо использовать таблицы ARP.
существует какая-нибудь утилита, работающая в фоне и сообщающая о попытках подключения mitm ?
Debian 12  -> Devuan 5 xfce -> MX Linux 23

dzhoser

#3
Использование АRP понизит возможность использование данной атаки так как подделка MAC адреса вызовет конфликт в сети. Если не секрет какой у вас роутер?

13 апреля 2024, 09:55:48
Вы хотите ее именно детектировать или свести к минимуму  ее применение?
Ubuntu->Linux mint->Astra Linux SE->Debian 12
Для новичков

ek-nfn

Цитата: dzhoser от 13 апреля 2024, 09:52:58Если не секрет какой у вас роутер?

Интерес по защите и детектированию в открытых вай-фай сетях в общественных местах.
Debian 12  -> Devuan 5 xfce -> MX Linux 23

dzhoser

Ну тут наверное только доверенный VPN. Если мы говорим про SSH, то это авторизация по ключу.
Ubuntu->Linux mint->Astra Linux SE->Debian 12
Для новичков

ek-nfn

Цитата: dzhoser от 13 апреля 2024, 10:04:42Ну тут наверное только доверенный VPN. Если мы говорим про SSH, то это авторизация по ключу.

а по автоматическому детектированию что-нибудь существует ?
Debian 12  -> Devuan 5 xfce -> MX Linux 23

dzhoser

Ну для детектирования нужен административный доступ к роутеру и его логам. Соответственно если мы не подключаемся к нему с таким доступам у нас только логи с нашего устройства. И тут ест сложность как мы определим что мы подключились именно к нужному роутеру, а не к устройству злоумышленника? Какие параметры нам сравнивать?
Ubuntu->Linux mint->Astra Linux SE->Debian 12
Для новичков

ek-nfn

Debian 12  -> Devuan 5 xfce -> MX Linux 23

dzhoser

#9
https://github.com/dirkjanm/mitm6 вот это инструмент посмотрите

13 апреля 2024, 12:56:25
Есть такой ещё инструмент https://github.com/cloudflare/mitmengine
Ubuntu->Linux mint->Astra Linux SE->Debian 12
Для новичков

ogost

Про детектирование не знаю, но защиту знаю - VPN. В качестве которого в принципе можно хоть ssh туннель использовать, хоть свой сервер поднимать