Co to jest podszywanie się pod ARP?Technika Podszywanie się pod ARP Zasadniczo polega na wykorzystaniu luki projektowej w protokole ARP i implementacji pamięci podręcznej ARP na hostach.
W warstwie sieci (ISO / OSI) systemy źródłowe i docelowe są dobrze zdefiniowane przez ich adresy IP, ale na poziomie warstwy łącza konieczne jest określenie adresów MAC każdego hosta.
ARP (RFC 826) to protokół translacji adresów między dwoma różnymi schematami adresowania, tak jak ma to miejsce między protokołem IP a protokołem MAC. Zasadniczo jego funkcją w sieci Ethernet jest określenie adresu MAC stacji na podstawie jej adresu IP. Tłumaczenie odbywa się poprzez wymianę komunikatów zapytań i odpowiedzi ARP.
Podstawowy mechanizm polega na wysłaniu 28-bajtowej wiadomości na adres rozgłoszeniowy i tylko właściwy host odpowiada bezpośrednio nadawcy zapytania.
Aby zapytanie ARP dotarło do wszystkich urządzeń, określony jest docelowy adres MAC FF: FF: FF: FF: FF: FF (A.K.A. Broadcast MAC address). Kiedy Switch odbiera ramkę przeznaczoną dla FF: FF: FF: FF: FF: FF, kontynuuje przekazywanie tej ramki przez wszystkie inne porty (zamiarem jest, aby wszystkie hosty „nasłuchiwały” pytania).
POWIĘKSZAĆ
Otrzymana odpowiedź jest używana do określenia docelowego adresu MAC, dzięki czemu transmisja może się rozpocząć.
POWIĘKSZAĆ
Uzyskana relacja IP-MAC będzie tymczasowo przechowywana w tabeli wpisów ARP (pamięć podręczna ARP) w taki sposób, że jeśli Bob spróbuje ponownie wysłać dane do Alicji w przyszłości, wystarczy, że sprawdzi tabelę pamięci podręcznej ARP, aby określić MAC Alicji.nie ma potrzeby "zapytaj ponownie".
W zależności od implementacji systemu operacyjnego te wpisy pamięci podręcznej ARP mogą być aktualizowane na podstawie ich ostatniego użycia, ostatniego „obserwowania” adresu MAC i tak dalej. Można je również ustawić statycznie, poprzez ręczną konfigurację.
We wszystkich przypadkach protokół ARP nie sprawdza poprawności danych uzyskanych w odpowiedzi ARP, to znaczy, jeśli Bob otrzyma odpowiedź ARP wskazującą, że określony MAC jest powiązany z adresem IP Alicji, Bob zaakceptuje informację „bez wahania”. Możesz wysyłać odpowiedzi ARP bez wcześniejszego pytania i są one nazywane „bezpłatnymi wiadomościami ARP”. Komunikaty te będą używane przez systemy, które je otrzymują, do aktualizacji informacji w tabeli pamięci podręcznej ARP.
Atakujący może celowo wysłać odpowiedzi ARP bez uprzedniego pytania („bezpłatne arp”), stwierdzając, że jego własny MAC odpowiada adresowi IP Alicji, a Bob zaakceptuje te odpowiedzi jako „informacje z ostatniej chwili” i przystąpi do aktualizacji wpisu w ARP tablica pamięci podręcznej dla adresu IP Alicji z adresem MAC atakującego.
Technika ARP Spoofing polega na wysyłaniu błędnych informacji dotyczących translacji MAC-IP; Kiedy Bob używa tych fałszywych informacji do aktualizacji swojej pamięci podręcznej ARP, pojawia się sytuacja zatrucia ARP (ARP Poisoning).
Ta sytuacja spowoduje, że ramki, które Bob wysyła na adres IP Alicji, będą dostarczane przez przełącznik do portu atakującego (pamiętaj, że przełącznik sprawdza adresy MAC).
Teraz, jeśli atakujący zastosuje tę samą technikę do Alicji, przekonując Alicję, że adres MAC atakującego odpowiada adresowi IP Boba, wówczas atakujący przekonał Boba, że jest Alicją, a Alicja, że jest Bobem, osiągając sytuację pośrednią (człowiek w Środkowy).
Obowiązkiem atakującego będzie przekazanie ramek do każdego systemu, aby utrzymać aktywny ruch i uniknąć problemów z komunikacją w wyższej warstwie. Dodatkowo Atakujący może kontrolować ruch, uzyskiwać wrażliwe dane, manipulować informacjami itp.
Zaangażowane systemy
Systemy wykorzystania do testowaniaBob AA: BB: CC: 11: 22: 33 (192.168.0.1/24)
Alicja AA: BB: CC: 22: 33: 44 (192.168.0.2/24)
Atakujący AA: BB: CC: 88: 88: 88 (192.168.0.3/24)
Dla systemu atakującego będzie używany GNU/Linux Ubuntu a dla ofiar będę używał Windows XP SP3, ale system operacyjny ofiary tak naprawdę nie ma znaczenia. Po pierwsze, do testowania ARP Poisoning należy użyć narzędzia, które umożliwia wysyłanie wiadomości ARP Spoofing do ofiar. W tym samouczku użyję "dsniff", który jest w zasadzie zestawem narzędzi do sniffowania haseł.
Wśród narzędzi zawartych w pakiet dsniff, znaleziono "arppoof”, Który zasadniczo wykonuje ARP Spoofing na wyznaczonej ofierze.
W celu zainstaluj dsniff wpisz terminal:
$ sudo apt-get install dsniffDzięki temu zainstalujesz go.
Analiza przed atakiem
W początkowej chwili Bob ma wpis w swojej pamięci podręcznej ARP, który wskazuje, że adres IP Alicji odpowiada adresowi MAC AA:BB:CC:22:33:44.
Aby wyświetlić tabelę pamięci podręcznej ARP, przejdź do:
- Początek
- Uruchomić
- cmd
W terminalu Windows napisz:
Duży namiotOtrzymasz aktualną zawartość tabeli pamięci podręcznej ARP Boba:
Podobnie na PC Alicji:
Atak
W pierwszej kolejności bit przekazujący w systemie Atakujący:
# echo 1> / proc / sys / net / ipv4 / ip_forwardW ten sposób unika się utraty pakietów, Bob i Alicja będą mogli współdziałać tak, jakby nic się nie stało.
ten polecenie arpspoof jest używany w następujący sposób:
# arpspoof -i INTERFAZ_LAN -t IP_VICTIMA_POISONING IP_VICTIMA_SPOOFEDSkąd:
INTERFAZ_LANKarta sieciowa, której użyjemy do ataku, adres MAC tego interfejsu zostanie przejęty dla wiadomości ARP Spoofing.
IP_VICTIMA_POISONINGJest to adres IP ofiary, której tablica pamięci podręcznej ARP jest zatruwana.
IP_VICTIMA_SPOOFEDJest to adres IP, który wskazuje wpis w tablicy pamięci podręcznej ARP ofiary, z którym powiązany będzie MAC atakującego.
Aby przekonać Alice, że Bob ma MAC AA:BB:CC:88:88:88, w terminalu systemu atakującego uruchom arpspoof w następujący sposób:
# arpspoof -i eth0 -t 192.168.0.2 192.168.0.1Wiadomości odpowiedzi ARP zostaną wysłane do Alice z manipulowanymi informacjami:
Uruchom KOLEJNY terminal (poprzedni nie powinien być przerywany) i wykonaj atak w przeciwnym kierunku, aby przekonać Boba, że Alicja ma MAC AA:BB:CC:88:88:88, w terminalu systemu Attacker wykonaj arpspoof w następujący sposób :
# arpspoof -i eth0 -t 192.168.0.1 192.168.0.2Komunikaty odpowiedzi ARP zostaną wysłane do Boba z manipulowanymi informacjami:
Od tego momentu atakujący utrzymuje status pośrednika (MitM), wysyłając zmanipulowane wiadomości ARP:
POWIĘKSZAĆ
Powtarzając pierwsze kroki, można sprawdzić, w jaki sposób wpisy pamięci podręcznej ARP Boba i Alicji zostały zaktualizowane za pomocą MAC atakującego:
Pamięć podręczna ARP Boba:
Pamięć podręczna ARP Alicji:
Ramki, które Bob wysyła do Alicji, są dostarczane do atakującego, a atakujący przekazuje je Alicji. W ten sam sposób ramki wysłane przez Alicję są dostarczane napastnikowi, a on przekazuje je Bobowi.
POWIĘKSZAĆ
Atakujący mógłby przechwytywać ruch za pomocą swojej karty sieciowej w trybie rozwiązłym i uzyskiwać na przykład dane uwierzytelniające dostęp do portalu internetowego, który nie korzysta z SSL.
Na przykład w następującym przechwyceniu ruchu osoba atakująca uzyskała poświadczenia dostępu do portalu PHPMyAdmin: (użytkownik „root”, hasło „ad00”)
POWIĘKSZAĆ
Na koniec, aby zamknąć atak bez przerywania komunikacji, atakujący zatrzymuje terminal „arpspoof” naciskając klawisze:
Ctrl + C
Narzędzie automatycznie wyśle zapytania ARP do każdej ofiary, aby informacje z pamięci podręcznej ARP zostały zaktualizowane poprawnymi danymi.
W tym czasie atakujący zwalnia komunikację i może odłączyć się od sieci, aby przeanalizować już uzyskany ruch.
Niektóre systemy antywirusowe monitorują zmiany wpisów w tabeli pamięci podręcznej ARP, nawet dla GNU/Linux istnieje narzędzie o nazwie „ARPWatch„To ostrzega o zmianie relacji ARP-IP w systemowych tablicach pamięci podręcznej ARP.
W innym artykule możliwe techniki zapobiegania Ataki MitM oparte na ARP Spoofing i ARP Poisoning.
Podobał Ci się i pomógł ten samouczek?Możesz nagrodzić autora, naciskając ten przycisk, aby dać mu pozytywny punkt
