Сравнительный тест программ, предотвращающих атаку на ARP-таблицу

в 19:38, , рубрики: arp, arp-spoofing, защита, спуфинг, метки: , , ,

Не так давно большой интерес (1, 2) вызвала программа DroidSheep, перехватывающая аккаунты пользователей он-лайн сервисов, которые пользуются ими через общедоступный Wi-Fi. На исконно русский вопрос: «что делать?» кто-то предложит воспользоваться программами для защиты от подобного рода атак, написанными под Андроид. Вот их я и решил протестировать.

А тестировал я её давно (ещё в 2008 году) написанной мною программкой ARPBuilder, которая создавалась для проверки уязвимости различных МСЭ к ARP-спуфинг атакам (подробнее):

image

Собственно, мне удалось разыскать всего 2-х кандидатов на тесты: DroidSheepGuard и shARPWatcher (обе программы для полноценной работы требуют наличие root-доступа).

Об удачности атаки я судил по показаниям ARP-таблицы моего подопытного Android-устройства. Показания снимал через программку Net Status:
image

В тестах проводилось 2 типа атак:
1. ARP-ответы (наиболее распространённый тип атак).
2. ARP-запросы (более редкий тип атак, но чаще всего успешно проходящий в случае использования различных МСЭ с функцией защиты от ARP-spoofing)

Первым прошёл испытание DroidSheepGuard.

image

Поначалу я всё никак не мог понять: работает ли программа хоть как-то? Потому что ARP-таблицу я успешно отравлял, а программка там мне ничего и не сказала об этом.Однако, обратив внимание на верхний ползунок, я уменьшил интервал (как оказалось, это интервал проверки изменений ARP-таблицы) до 1 мин и меня ждало долгожданное окошко с дисконнектом от Wi-Fi.

image

Т.к. программа мониторит любое изменение уже имеющихся записей в ARP-таблице, то совершенно неважно каким из 2-х типов атак подвергается ваше Android-устройство.

shARPWatcher

image

Я так и не понял по какому принципу работает это ПО. Все мои атаки удачно проходили и никакой реакции за долгое время от ПО так и не поступило. Хотя запускал её как и сообщалось на сайте программки, сначала её, потом уже коннект к Wi-Fi сети.

В общем, вердикт прост: используйте DroidSheepGuard с минимальным интервалом проверки. А лучше вообще не заходите в свои аккаунты из публичных сетей.

Автор: shanker

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js