Nel caso, ancora, un host sia riuscito ad associarsi all'access point, esso è di fatto in rete locale, anche non riuscendo eventualmente ad identificare i corretti parametri usati per lo scambio di dati: è quindi passibile di esser intercettato.
A tal fine, l'intercettazione, ho trovato esser molto utile (per lo meno in una rete di tipo misto, Wi-Fi e cablata) un software che viene solitamente utilizzato in un contesto leggermente diverso, ovvero rilevare tentativi di sniffing: arpwatch.
Arpwatch è un servizio per sistemi Linux e affini che monitora l'attività ARP di una rete LAN Ethernet IPv4, intercettando ogni pacchetto ARP broadcast che giunga all'interfaccia di rete correlata.
Arpwatch, nella fattispecie, tiene traccia delle terne (indirizzo IP, indirizzo MAC, adattatore di rete) associate agli host della rete ed informa l'amministratore, tramite e-mail, di eventuali sistemi aggiunti ad essa (anche wireless, dacché un host wireless, lato LAN cablata, deve comportarsi analogamente ai rimanenti, per potervi comunicare) e di ogni tipo di modifica alle stesse terne precedentemente memorizzate.
Nell'esempio che segue, arpwatch ha notato che un nuovo host, con IP 192.168.1.27, si aggira furtivo per la rete (che tra l'altro è del tipo 192.168.0.x e non 192.168.1.x).
Per e-mail invierà quindi un messaggio di "new station":
hostname: <unknown> ip address: 192.168.1.27 interface: eth0 ethernet address: 0:c:29:a:26:1f ethernet vendor: Vmware, Inc.
Potremmo anche ricevere una notizia di "changed ethernet address", nel caso di riutilizzo dello stesso indirizzo IP:
hostname: <unknown> ip address: 192.168.0.10 interface: eth0 ethernet address: 0:3:47:ce:58:a6 ethernet vendor: Intel Corporation old ethernet address: 0:11:11:33:fc:56 old ethernet vendor: Intel Corporation
Il programma dovrà girare su una macchina ovviamente sempre accesa; su un sistema Linux Debian/Ubuntu è installabile alla solita maniera: apt-get install arpwatch
, essendone un pacchetto standard.
Per ciò che concerne la configurazione, posta l'esistenza di un mail transfer agent locale (un qualunque clone di sendmail) modificare il file /etc/arpwatch.conf come di seguito mostrato:
eth0 -a -n 192.168.0.0/24 -m report@to.me
report@to.me dev'esser evidentemente sostituito con l'indirizzo di posta elettronica del destinatario del monitoraggio.