я думал arpspoof GATEWAY_IP -t VICTIM_IP можно предотвратить, добавив статическую запись arp на стороне жертвы, т.е. arp -s GATEWAY_IP GATEWAY_MAC
Я читаю https://superuser.com/questions/17696/what-happens-when-two-pcs-have-the-same-mac-adress, но мне все еще интересно, когда это делает плохой парень:
macchanger -m GATEWAY_MAC eth0
Может ли он обойти статическую защиту от входа arp? Что на самом деле произойдет под землей? Любая документация / ресурсы объясняют эту ситуацию?
Частично это будет зависеть от используемых сетевых устройств. Предполагается, что MAC-адрес должен быть глобально уникальным. (Здесь сделано множество предположений.) Скорее всего, коммутатор будет переключаться между двумя портами каждые 15 секунд (минимальное время, в течение которого большинство коммутаторов появиться требовать перед обновлением записи в базе данных пересылки.).
Я понятия не имею, что вы имеете в виду под «Что на самом деле произойдет под землей?»
Вместо этого плохой парень обычно хочет выиграть гонку ARP. Обычно это делается с помощью большого количества беспричинных широковещательных рассылок ARP и простой попытки сначала ответить на запрос ARP клиента.
Что касается документации, атака называется ARP-спуфингом. Если что, почитайте об инструменте dsniff dug song.
Удачи.
[Обновлено с учетом комментария.] Нет, установка статической записи arp на клиенте не защитит и не предотвратит использование macchanger, как вы описали. Если злоумышленник в вашей локальной сети будет использовать macchanger, как вы описали, это создаст ситуацию, когда две станции в вашей локальной сети будут иметь одинаковый MAC-адрес.
Однако, если у вас есть управляемый коммутатор, то есть коммутатор, в который вы можете войти и настроить. Он почти наверняка будет поддерживать записи статической пересылки. Если бы вы настроили MAC-адрес шлюза статически на порте коммутатора шлюза, вы предотвратили бы возможность злоумышленника выдавать себя за шлюз в вашей сети. Это не то же самое, что использовать arp -s.