Skip to main content

Wykrywanie ataków Man-in-the-Middle (MitM)

Ataki MitM polegają na przechwytywaniu i modyfikowaniu ruchu sieciowego między dwoma stronami.

Techniki identyfikacji MitM:

  • ARP Spoofing – wykrywanie duplikacji adresów MAC:
    arp.duplicate-address-detected == 1
  • Fałszywe serwery DHCP (Rogue DHCP) – analiza podejrzanych serwerów DHCP:
    dhcp.option.dhcp_server_identifier != 192.168.1.1
  • Analiza anomalii w certyfikatach SSL/TLS:
    tls.handshake.certificate contains "self-signed"