Ce este ARP Spoofing?Tehnica Spoofing ARP Practic, constă în exploatarea unei vulnerabilități de proiectare în protocolul ARP și implementarea cache-ului ARP în gazde.
La nivelul rețelei (ISO / OSI), sistemele sursă și destinație sunt bine definite prin adresele lor IP, dar la nivelul stratului de legătură, este necesar să se determine adresele MAC ale fiecărei gazde.
ARP (RFC 826) este un protocol de traducere a adresei între două scheme de adresare diferite, așa cum este cazul între protocolul IP și protocolul MAC. Practic, funcția sa într-o rețea Ethernet este de a determina adresa MAC a unei stații având în vedere adresa IP a acesteia. Traducerea se efectuează printr-un schimb de mesaje de interogare și răspunsuri ARP.
Mecanismul de bază funcționează prin trimiterea unui mesaj de 28 de octeți la adresa de difuzare și numai gazda corectă răspunde direct la expeditorul interogării.
Pentru ca interogarea ARP să ajungă la toate dispozitivele, este specificată adresa MAC de destinație FF: FF: FF: FF: FF: FF (adresa MAC Broadcast A.K.A.). Atunci când un comutator primește un cadru destinat FF: FF: FF: FF: FF: FF, se continuă transmiterea respectivului cadru prin toate celelalte porturi (intenția este ca toate gazdele să „asculte” întrebarea).
MARI
Răspunsul obținut este utilizat pentru a determina adresa MAC de destinație și astfel transmisia poate începe.
MARI
Relația IP-MAC obținută va fi stocată temporar într-un tabel de intrări ARP (cache ARP) în așa fel încât dacă Bob încearcă să îi trimită din nou date lui Alice în viitor, tot ce trebuie să facă este să consulte tabelul cache ARP la determinați MAC-ul lui Alice. nu este nevoie să „întrebați din nou”.
În funcție de implementarea sistemului de operare, aceste intrări de cache ARP pot fi actualizate în funcție de ultima lor utilizare, ultima dată când adresa MAC a fost „observată” și așa mai departe. De asemenea, pot fi setate static, prin configurare manuală.
În toate cazurile, protocolul ARP nu validează datele obținute în răspunsul ARP, adică dacă Bob primește un răspuns ARP care indică faptul că un anumit MAC este legat de IP-ul lui Alice, Bob va accepta informațiile „fără ezitare”. Aveți permisiunea de a trimite răspunsuri ARP fără o întrebare prealabilă și sunteți numiți mesaje „ARP gratuite”. Aceste mesaje vor fi utilizate de sistemele care le primesc pentru a actualiza informațiile din tabelul cache ARP.
Un atacator poate trimite în mod deliberat răspunsuri ARP fără o întrebare prealabilă („arp gratuit”), declarând că propriul său MAC corespunde IP-ului lui Alice, iar Bob va accepta aceste răspunsuri ca „informații de ultim moment” și va continua să actualizeze intrarea în ARP tabel cache pentru IP-ul lui Alice cu MAC-ul atacatorului.
Tehnica ARP Spoofing constă în trimiterea de informații incorecte privind traducerea MAC-IP; Când Bob folosește aceste informații false pentru a-și actualiza memoria cache ARP, apare o situație de otrăvire ARP (ARP Poisoning).
Această situație va face ca cadrele pe care Bob le trimite către adresa IP a lui Alice să fie livrate de Switch către portul atacatorului (amintiți-vă că Switch-ul privește MAC-urile).
Acum, dacă atacatorul aplică aceeași tehnică lui Alice, convingându-l pe Alice că adresa MAC a atacatorului corespunde adresei IP a lui Bob, atunci atacatorul l-a convins pe Bob că este Alice și Alice că este Bob, realizând o situație intermediară (Man in the Mijloc).
Va fi responsabilitatea atacatorului să transmită cadrele către fiecare sistem pentru a menține traficul activ și pentru a evita problemele de comunicare în stratul superior. În plus, atacatorul poate inspecta traficul, poate obține date sensibile, poate manipula informații etc.
Sisteme implicate
Sisteme de utilizare pentru testareBob AA: BB: CC: 11: 22: 33 (192.168.0.1/24)
Alice AA: BB: CC: 22: 33: 44 (192.168.0.2/24)
Atacant AA: BB: CC: 88: 88: 88 (192.168.0.3/24)
Pentru sistemul de atac va fi folosit GNU / Linux Ubuntu iar pentru victime voi folosi Windows XP SP3, dar sistemul de operare al victimei nu contează cu adevărat. În primul rând, un instrument care permite trimiterea mesajelor ARP Spoofing către victime trebuie utilizat pentru a testa otrăvirea ARP. Pentru acest tutorial voi folosi „dsniff”, care este în esență un set de instrumente pentru detectarea parolelor.
Printre instrumentele incluse în pachetul dsniff, s-a găsit "arpspoof”, Care practic efectuează ARP Spoofing asupra victimei desemnate.
La instalați dsniff introduceți un terminal:
$ sudo apt-get install dsniffCu aceasta îl instalați.
Analiza pre-atac
În momentul inițial, Bob are o intrare în cache-ul său ARP care indică faptul că adresa IP a Alicei corespunde MAC AA: BB: CC: 22: 33: 44.
Pentru a vizualiza tabelul cache ARP, accesați:
- start
- Alerga
- cmd
În terminalul Windows, scrieți:
Cort mareVeți obține conținutul actual al tabelului cache ARP al lui Bob:
În mod similar, pe computerul lui Alice:
Atac
În prima instanță, bit de redirecționare în sistemul atacator:
# echo 1> / proc / sys / net / ipv4 / ip_forwardÎn acest fel, se evită pierderea de pachete, Bob și Alice vor putea interacționa de parcă nu s-ar fi întâmplat nimic.
comanda arpspoof se folosește după cum urmează:
# arpspoof -i INTERFAZ_LAN -t IP_VICTIMA_POISONING IP_VICTIMA_SPOOFEDDe unde:
INTERFAZ_LANCard de rețea pe care îl vom folosi pentru atac, adresa MAC a acelei interfețe va fi luată pentru mesajele ARP Spoofing.
IP_VICTIMA_POISONINGEste adresa IP a victimei a cărei tabelă cache ARP este otrăvită.
IP_VICTIMA_SPOOFEDEste adresa IP care indică intrarea în tabelul cache ARP al victimei la care MAC-ul atacatorului va fi asociat.
Pentru a o convinge pe Alice că Bob are MAC AA: BB: CC: 88: 88: 88, în terminalul sistemului atacator rulați arpspoof după cum urmează:
# arpspoof -i eth0 -t 192.168.0.2 192.168.0.1Mesajele de răspuns ARP vor fi trimise lui Alice cu informații manipulate:
Porniți ALT terminal (cel anterior nu trebuie întrerupt) și executați atacul în direcția opusă, pentru a-l convinge pe Bob că Alice are MAC AA: BB: CC: 88: 88: 88, în terminalul sistemului de atacare executați arpspoof după cum urmează :
# arpspoof -i eth0 -t 192.168.0.1 192.168.0.2Mesajele de răspuns ARP vor fi trimise lui Bob cu informații manipulate:
Din acest moment, atacatorul menține statutul de intermediar (MitM) prin trimiterea de mesaje ARP manipulate:
MARI
Prin repetarea primilor pași, este posibil să verificați modul în care au fost actualizate intrările cache ARP ale lui Bob și Alice cu MAC-ul atacatorului:
Memoria cache ARP a lui Bob:
Cache ARP a lui Alice:
Cadrele pe care Bob le trimite lui Alice sunt livrate atacatorului, iar atacatorul le trimite lui Alice. În același mod, cadrele trimise de Alice sunt livrate atacatorului și acesta le trimite lui Bob.
MARI
Atacatorul ar putea capta trafic cu cardul său de rețea în mod promiscuu și obține, de exemplu, acreditări de acces la un portal web care nu utilizează SSL.
De exemplu, în următoarea captură de trafic, un atacator a obținut acreditările de acces la un portal PHPMyAdmin: („root” utilizator, parolă „ad00”)
MARI
În cele din urmă, pentru a închide atacul fără a întrerupe comunicarea, atacatorul oprește terminalul „arpspoof” apăsând tastele:
Ctrl + C
Și instrumentul va trimite automat interogări ARP către fiecare victimă, astfel încât informațiile cache ARP să fie actualizate cu datele corecte.
În acest moment, atacatorul lansează comunicări și se poate deconecta de la rețea pentru a analiza traficul deja obținut.
Unele sisteme antivirus monitorizează modificările intrărilor în tabelul cache ARP, chiar și pentru GNU / Linux există un instrument numit „ARPWatch”Acest lucru alertează o modificare a relației ARP-IP în tabelele cache ARP ale sistemului.
Într-un alt articol, posibile tehnici de prevenit Atacuri MitM bazate pe ARP Spoofing și ARP Poisoning.
V-a plăcut și ați ajutat acest tutorial?Puteți recompensa autorul apăsând acest buton pentru a-i oferi un punct pozitiv
