Hola a todos!

Utilizando ettercap + wireshark sobre swich con un envenamiento ARP sobre un linux me surgio la duda de como capturar a alguien que utilize este metodo, se que mirando als tablas arp y mac se puede detectar, pero hay mas metodos y programas?


muchas gracias.

Que tal.

No se si Arpwatch te podria servir.


Saludos.

ese plugin si que valdria, ya que la gente no pone la tarjeta de red en modo promiscuo con asiduidad jeje

tambien con un arp -a y viendo la mac asociada al router

si es 0000000000 o algo por el estilo ya sabes que es

en este tema me precuparia mas el, puede ser detectado?

la mayoria de sniffers trabajan en modo promiscuo, de ahi que no puedan ser "detectados"

me refiero a que tu quizas puedas averiguar que tienes un sniffer en la red, pero si el tio se las ingenia no podras saber quien es


los sniffers como cain spofean mac e ip para no ser detectados

en mi red del instituto, que tienen switchs puse con sniffer a la escucha, realizando un mitm y no se detectó

te quiero decir que si tu le hechas un vistazo a las tablas arp con: arp -a

la direccion mac del router, comprueba que es la misma, si no lo es alguien esta haciendose pasar por el router


con hubs no hace ni falta colocarse en medio, ya que todo el trafico va para todos lados

tu miras las arp, y te saldra esto por ej:


Es lo mas normal, pero, como sabes de quien es esa mac si esta spofeada y la ip que la tiene no existe, es decir, cain crea una ip virtual se podria decir, ficticia que no usa un ordenador, y que esta asignada con esa mac

eso si, si el tio es incauto y no ha spofeado ni la mac ni la ip, le pillas jeje

Me uno a lo que comentan... lo mas inmediato seria mirar la tabla arp, o si usas ettercap utilizar el plugin.

el cain puede darte la opcion por ejemplo de spofear la mac de manera no tan cantosa, que sea casi igual a la del router y asi, como no te sepas la mac del router bien bien, no lo pillaras