Friday, August 8, 2008

ตรวจหา ARP Spoof packet ด้วย ARPWatch

# ARPWatch เป็นโปรแกรมคอยตรวจหาความผิดปกติของ arp รูปแบบต่างๆ

# คำสั่งสำหรับการติดตั้ง ARPWatch

$ sudo apt-get install arpwatch

# สั่งให้โปรแกรมทำงานด้วยคำสั่ง

$ sudo arpwatch -d -i eth0

# ถ้าเครื่องเราปกติ ไม่มีใครเล่น ARPSpoof กับเครื่องเราผลจะเป็นประมาณเนี๋ย

From: arpwatch (Arpwatch [localhost-name])
To: root
Subject: new station eth0

hostname:
ip address: 192.168.1.1 (gateway)
interface: eth0
ethernet address: 0:2:cf:93:20:a5 (real mac gateway)
ethernet vendor:
timestamp: Friday, August 8, 2008 13:56:06 +0700


# แต่แบบนี้เป็นเหตุการที่ไม่ปกติอาจมีคนโจมตีเครื่องเราด้วย arp poisoning คือ IP หนึ่งๆ ค่า MAC จะมีการเปลี่ยนแปลง ค่อนข้างบ่อยๆ ยังงี้มันน่าสงสัยมั้ยล่ะเนี๋ย

From: arpwatch (Arpwatch [localhost-name])
To: root
Subject: changed ethernet address eth0

hostname:
ip address: [gateway]
interface: eth0
ethernet address: [61:d:79:26:50:3] (fake mac gateway)
ethernet vendor:
old ethernet address: [0:2:cf:93:20:a5] (real mac gateway)
old ethernet vendor: Zygate Communications, Inc.
timestamp: Friday, August 8, 2008 14:03:48 +0700
previous timestamp: Friday, August 8, 2008 14:03:42 +0700
delta: 6 seconds

# ครั้งต่อมาเปลี่ยนอีกแหละ = ='

From: arpwatch (Arpwatch [localhost-name])
To: root
Subject: changed ethernet address eth0

hostname:
ip address: [gateway]
interface: eth0
ethernet address: [62:7d:4:76:17:74] (fake mac gateway)
ethernet vendor:
old ethernet address: [61:d:79:26:50:3]
old ethernet vendor:
timestamp: Friday, August 8, 2008 14:04:12 +0700
previous timestamp: Friday, August 8, 2008 14:04:03 +0700
delta: 9 seconds
arpwatch: reused old ethernet address 192.168.1.1 0:2:cf:93:20:a5 (62:7d:4:76:17:74) eth0

# ถ้าเราโดนโจมตีแบบ Port stealing ผลของ arpwatch จะเป็นประมาณเนี๋ย

arpwatch: bogon 0.0.0.0 0:1e:8c:14:3c:cd (0:0:0:0:0:0) eth0
arpwatch: bogon 0.0.0.0 0:1c:f0:d5:91:a4 (0:0:0:0:0:0) eth0
arpwatch: bogon 0.0.0.0 0:1c:25:55:a2:a5 (0:0:0:0:0:0) eth0
arpwatch: bogon 0.0.0.0 0:1b:11:c:8:3c (0:0:0:0:0:0) eth0
arpwatch: bogon 0.0.0.0 0:2:cf:93:20:a5 (0:0:0:0:0:0) eth0

No comments:

Post a Comment

Popular Posts