Какво е ARP спуфинг?Техниката ARP спуфинг По същество той се състои в използване на уязвимост на дизайна в ARP протокола и внедряване на ARP кеш в хостовете.
На мрежовия слой (ISO / OSI) изходните и целевите системи са добре дефинирани от техните IP адреси, но на ниво слой на връзката е необходимо да се определят MAC адресите на всеки хост.
ARP (RFC 826) е протокол за транслация на адреси между две различни схеми за адресиране, какъвто е случаят между IP протокола и MAC протокола. По принцип неговата функция в Ethernet мрежа е да определи MAC адреса на станция, като се има предвид нейният IP адрес. Преводът се осъществява чрез обмен на съобщения със заявки и ARP отговори.
Основният механизъм работи чрез изпращане на 28-байтово съобщение до излъчващия адрес и само правилния хост отговаря директно на подателя на заявката.
За да може ARP заявката да достигне до всички устройства, е посочен целевият MAC адрес FF: FF: FF: FF: FF: FF (A.K.A. Broadcast MAC адрес). Когато комутатор получи кадър, предназначен за FF: FF: FF: FF: FF: FF, той продължава да препраща споменатия кадър през всички останали портове (намерението е всички хостове да "слушат" въпроса).
Увеличете
Полученият отговор се използва за определяне на MAC адреса на местоназначението и по този начин предаването може да започне.
Увеличете
Получената връзка IP-MAC ще бъде временно съхранена в таблица с ARP записи (ARP кеш) по такъв начин, че ако Боб се опита да изпрати данни до Алиса отново в бъдеще, всичко, което трябва да направи, е да се консултира с таблицата с кеш на ARP, за да определете MAC на Алиса. няма нужда да "питате отново".
В зависимост от внедряването на операционната система, тези ARP кеш записи могат да бъдат актуализирани въз основа на последната им употреба, последния път, когато MAC адресът беше „наблюдаван“ и т.н. Те също могат да бъдат зададени статично, чрез ръчна конфигурация.
Във всички случаи протоколът ARP не валидира данните, получени в отговора на ARP, тоест, ако Боб получи отговор ARP, показващ, че определен MAC е свързан с IP на Алиса, Боб ще приеме информацията „без колебание“. Имате право да изпращате ARP отговори без предварителен въпрос и се наричат „безвъзмездни ARP“ съобщения. Тези съобщения ще се използват от системите, които ги получават, за да актуализират информацията в ARP кеш таблицата.
Нападателят може умишлено да изпраща ARP отговори без предварителен въпрос („безвъзмездно arp“), заявявайки, че неговият собствен MAC отговаря на IP на Алиса и Боб ще приеме тези отговори като „информация в последната минута“ и ще продължи да актуализира записа в ARP кеш таблица за IP на Алиса с MAC на нападателя.
Техниката ARP Spoofing се състои в изпращане на неправилна информация относно MAC-IP превода; Когато Боб използва тази невярна информация, за да актуализира своя ARP кеш, възниква ситуация на отравяне с ARP (ARP отравяне).
Тази ситуация ще накара кадрите, които Боб изпраща до IP на Алиса, да бъдат доставяни от превключвателя към порта на нападателя (не забравяйте, че комутаторът гледа MAC).
Сега, ако нападателят прилага същата техника към Алиса, убеждавайки Алиса, че MAC адресът на нападателя съответства на IP адреса на Боб, тогава нападателят е убедил Боб, че той е Алиса и Алиса, че той е Боб, постигайки посредническа ситуация (Man in the Средна).
Нападателят ще носи отговорност да препраща кадрите към всяка система, за да поддържа трафика активен и да избягва комуникационни проблеми в горния слой. Освен това нападателят може да проверява трафика, да получава чувствителни данни, да манипулира информация и т.н.
Включени системи
Системи за използване за тестванеБоб AA: BB: CC: 11: 22: 33 (192.168.0.1/24)
Алиса АА: BB: CC: 22: 33: 44 (192.168.0.2/24)
Нападател AA: BB: CC: 88: 88: 88 (192.168.0.3/24)
За атакуващата система ще се използва GNU / Linux Ubuntu и за жертвите ще използвам Windows XP SP3, но операционната система на жертвата няма значение. Първо, инструмент, който позволява изпращането на ARP Spoofing съобщения до жертвите, трябва да се използва за тестване на ARP отравянето. За този урок ще използвам "dsniff", който по същество е инструментариум за смъркане на пароли.
Сред инструментите, включени в пакет dsniff, намерено е "arpspoof”, Който основно извършва ARP Spoofing върху определената жертва.
Да се инсталирайте dsniff въведете терминал:
$ sudo apt-get install dsniffС това го инсталирате.
Анализ преди атака
В първия момент Боб има запис в своя ARP кеш, който показва, че IP адресът на Алиса съответства на MAC AA: BB: CC: 22: 33: 44.
За да видите ARP кеш таблицата, отидете на:
- Старт
- Бягай
- cmd
В терминала на Windows напишете:
Голяма палаткаЩе получите текущото съдържание на ARP кеш таблицата на Bob:
По същия начин на компютъра на Алиса:
Атака
На първо място, бит за препращане в системата Attacker:
# echo 1> / proc / sys / net / ipv4 / ip_forwardПо този начин се избягва загубата на пакети, Боб и Алис ще могат да си взаимодействат, сякаш нищо не се е случило.
The команда arpspoof се използва както следва:
# arpspoof -i INTERFAZ_LAN -t IP_VICTIMA_POISONING IP_VICTIMA_SPOOFEDОт къде:
INTERFAZ_LANМрежовата карта, която ще използваме за атаката, MAC адресът на този интерфейс ще бъде взет за ARP Spoofing съобщения.
IP_VICTIMA_POISONINGТова е IP адресът на жертвата, чиято ARP кеш таблица е отровена.
IP_VICTIMA_SPOOFEDТова е IP адресът, който показва записа в ARP кеш таблицата на жертвата, към който MAC на атакуващия ще бъде свързан.
За да убедите Алис, че Боб има MAC AA: BB: CC: 88: 88: 88, в системния терминал на нападателя изпълнете arpspoof, както следва:
# arpspoof -i eth0 -t 192.168.0.2 192.168.0.1ARP съобщенията за отговор ще бъдат изпратени до Алиса с манипулирана информация:
Стартирайте ДРУГ терминал (предишният не трябва да се прекъсва) и изпълнете атаката в обратна посока, за да убедите Боб, че Алиса има MAC AA: BB: CC: 88: 88: 88, в системния терминал на Attacker изпълнете arpspoof, както следва :
# arpspoof -i eth0 -t 192.168.0.1 192.168.0.2ARP съобщенията за отговор ще бъдат изпратени на Боб с манипулирана информация:
От този момент нападателят поддържа статуса на посредник (MitM), като изпраща манипулирани ARP съобщения:
Увеличете
Повтаряйки първите стъпки, е възможно да проверите как ARP кеш записите на Боб и Алис са актуализирани с MAC на Attacker:
ARP кешът на Боб:
ARP кешът на Алиса:
Рамките, които Боб изпраща на Алиса, се доставят на Нападателя, а Нападателят ги препраща на Алиса. По същия начин кадрите, изпратени от Алиса, се доставят на Нападателя и той ги препраща на Боб.
Увеличете
Нападателят може да улови трафика с мрежовата си карта в безразборно състояние и да получи например идентификационни данни за достъп до уеб портал, който не използва SSL.
Например, при следното улавяне на трафик, нападателят е получил идентификационни данни за достъп до портал PHPMyAdmin: (Потребителски "root", парола "ad00")
Увеличете
И накрая, за да затвори атаката, без да прекъсва комуникацията, нападателят спира терминала "arpspoof" чрез натискане на клавиши:
Ctrl + C
Инструментът автоматично ще изпраща ARP заявки към всяка жертва, така че информацията за ARP кеша да се актуализира с правилните данни.
По това време нападателят освобождава комуникациите и може да се изключи от мрежата, за да анализира вече получения трафик.
Някои антивирусни системи следят промените на записите в кеш таблицата ARP, дори за GNU / Linux има инструмент, наречен „ARPWatch”Това предупреждава за промяна в ARP-IP връзката в системните ARP кеш таблици.
В друга статия, възможни техники за предотвратяване MitM атаки, базирани на ARP Spoofing и ARP отравяне.
Хареса ли ви и помогнахте на този урок?Можете да възнаградите автора, като натиснете този бутон, за да му дадете положителна точка