Τι είναι η δηλητηρίαση ARP; ARP Spoofing με Παράδειγμα
Τι είναι το ARP Poisoning (ARP Spoofing)
Το ARP είναι το ακρωνύμιο του Πρωτόκολλου Ανάλυσης Διεύθυνσης. Χρησιμοποιείται για τη μετατροπή της διεύθυνσης IP σε φυσικές διευθύνσεις [MAC address] σε έναν διακόπτη. Ο κεντρικός υπολογιστής στέλνει μια εκπομπή ARP στο δίκτυο και ο υπολογιστής παραλήπτης αποκρίνεται με τη φυσική του διεύθυνση [MAC Address]. Η επιλυμένη διεύθυνση IP/MAC χρησιμοποιείται στη συνέχεια για την επικοινωνία. Η δηλητηρίαση ARP στέλνει ψεύτικες διευθύνσεις MAC στον διακόπτη, έτσι ώστε να μπορεί να συσχετίσει τις ψεύτικες διευθύνσεις MAC με τη διεύθυνση IP ενός γνήσιου υπολογιστή σε ένα δίκτυο και να παραβιάσει την κυκλοφορία.
Τύποι επιθέσεων δηλητηρίασης ARP
- Man in the Middle Attacks
- Παρακολούθηση Κυκλοφορίας
- Επιθέσεις άρνησης υπηρεσίας (DoS).
Πώς να αποτρέψετε τις επιθέσεις δηλητηρίασης ARP
Στατικές καταχωρήσεις ARP: αυτά μπορούν να οριστούν στην τοπική προσωρινή μνήμη ARP και ο διακόπτης να ρυθμιστεί ώστε να αγνοεί όλα τα πακέτα αυτόματης απάντησης ARP. Το μειονέκτημα αυτής της μεθόδου είναι ότι είναι δύσκολο να διατηρηθεί σε μεγάλα δίκτυα. Η αντιστοίχιση διευθύνσεων IP/MAC πρέπει να διανεμηθεί σε όλους τους υπολογιστές του δικτύου.
Λογισμικό ανίχνευσης δηλητηρίασης ARP: αυτά τα συστήματα μπορούν να χρησιμοποιηθούν για τον διασταυρούμενο έλεγχο της ανάλυσης διεύθυνσης IP/MAC και την πιστοποίησή τους εάν έχουν επικυρωθεί. Οι μη πιστοποιημένες αναλύσεις διευθύνσεων IP/MAC μπορούν στη συνέχεια να αποκλειστούν.
Operating Ασφάλεια Συστήματος: αυτό το μέτρο εξαρτάται από το λειτουργικό σύστημα που χρησιμοποιείται. Ακολουθούν οι βασικές τεχνικές που χρησιμοποιούνται από διάφορα λειτουργικά συστήματα.
- Βασίζεται σε Linux: αυτά λειτουργούν αγνοώντας τα αυτόκλητα πακέτα απάντησης ARP.
- Microsoft Windows: η συμπεριφορά της προσωρινής μνήμης ARP μπορεί να διαμορφωθεί μέσω του μητρώου. Η ακόλουθη λίστα περιλαμβάνει μερικά από τα λογισμικά που μπορούν να χρησιμοποιηθούν για την προστασία των δικτύων από το sniffing.
- AntiARP– παρέχει προστασία τόσο από το παθητικό όσο και από το ενεργητικό sniffing
- Agnitum Outpost Firewall– παρέχει προστασία από την παθητική οσμή
- XArp– παρέχει προστασία τόσο από το παθητικό όσο και από το ενεργητικό sniffing
- Mac OS: Το ArpGuard μπορεί να χρησιμοποιηθεί για την παροχή προστασίας. Προστατεύει τόσο από την ενεργητική όσο και από την παθητική οσμή.
Δραστηριότητα hacking: Διαμόρφωση καταχωρήσεων ARP σε Windows
Χρησιμοποιούμε Windows 7 για αυτήν την άσκηση, αλλά οι εντολές θα πρέπει να μπορούν να λειτουργούν και σε άλλες εκδόσεις των Windows.
Ανοίξτε τη γραμμή εντολών και πληκτρολογήστε την ακόλουθη εντολή
arp –a
ΕΔΩ,
- Απρ καλεί το πρόγραμμα διαμόρφωσης ARP που βρίσκεται στο WindowsΚατάλογος /System32
- -a είναι η παράμετρος που εμφανίζεται στα περιεχόμενα της προσωρινής μνήμης ARP
Θα έχετε αποτελέσματα παρόμοια με τα παρακάτω
Σημείωση: δυναμικές καταχωρήσεις προστίθενται και διαγράφονται αυτόματα κατά τη χρήση TCP / IP συνεδρίες με απομακρυσμένους υπολογιστές.
Στατικές καταχωρήσεις προστίθενται χειροκίνητα και διαγράφονται κατά την επανεκκίνηση του υπολογιστή και την επανεκκίνηση της κάρτας διασύνδεσης δικτύου ή άλλες δραστηριότητες που την επηρεάζουν.
Προσθήκη στατικών καταχωρήσεων
Ανοίξτε τη γραμμή εντολών και, στη συνέχεια, χρησιμοποιήστε την εντολή ipconfig /all για να λάβετε τη διεύθυνση IP και τη διεύθυνση MAC
Η διεύθυνση MAC αναπαρίσταται χρησιμοποιώντας τη Φυσική διεύθυνση και η διεύθυνση IP είναι IPv4Address
Εισαγάγετε την ακόλουθη εντολή
arp –s 192.168.1.38 60-36-DD-A6-C5-43
Σημείωση: Η διεύθυνση IP και η διεύθυνση MAC θα διαφέρουν από αυτές που χρησιμοποιούνται εδώ. Αυτό συμβαίνει γιατί είναι μοναδικά.
Χρησιμοποιήστε την ακόλουθη εντολή για να προβάλετε την προσωρινή μνήμη ARP
arp –a
Θα λάβετε τα ακόλουθα αποτελέσματα
Σημειώστε ότι η διεύθυνση IP έχει επιλυθεί στη διεύθυνση MAC που δώσαμε και είναι στατικού τύπου.
Διαγραφή μιας καταχώρισης προσωρινής μνήμης ARP
Χρησιμοποιήστε την ακόλουθη εντολή για να αφαιρέσετε μια καταχώρηση
arp –d 192.168.1.38
PS Η δηλητηρίαση ARP λειτουργεί στέλνοντας ψεύτικες διευθύνσεις MAC στον διακόπτη
Τι είναι οι διευθύνσεις IP και MAC
Η διεύθυνση IP είναι το ακρωνύμιο της διεύθυνσης πρωτοκόλλου Διαδικτύου. Μια διεύθυνση πρωτοκόλλου Διαδικτύου χρησιμοποιείται για τον μοναδικό προσδιορισμό ενός υπολογιστή ή μιας συσκευής, όπως εκτυπωτές, δίσκους αποθήκευσης σε ένα δίκτυο υπολογιστών. Αυτήν τη στιγμή υπάρχουν δύο εκδόσεις διευθύνσεων IP. Το IPv4 χρησιμοποιεί αριθμούς 32 bit. Λόγω της μαζικής ανάπτυξης του Διαδικτύου, το IPv6 έχει αναπτυχθεί και χρησιμοποιεί αριθμούς 128 bit.
Οι διευθύνσεις IPv4 μορφοποιούνται σε τέσσερις ομάδες αριθμών που χωρίζονται με τελείες. Ο ελάχιστος αριθμός είναι 0 και ο μέγιστος αριθμός είναι 255. Ένα παράδειγμα ενός IPv4 η διεύθυνση μοιάζει με αυτό.
127.0.0.1
Οι διευθύνσεις IPv6 μορφοποιούνται σε ομάδες των έξι αριθμών που χωρίζονται με άνω και κάτω τελείες. Οι αριθμοί της ομάδας γράφονται ως 4 δεκαεξαδικά ψηφία. Ένα παράδειγμα διεύθυνσης IPv6 μοιάζει με αυτό.
2001:0db8:85a3:0000:0000:8a2e:0370:7334
Προκειμένου να απλοποιηθεί η αναπαράσταση των διευθύνσεων IP σε μορφή κειμένου, τα αρχικά μηδενικά παραλείπονται και η ομάδα των μηδενικών συμπληρώνεται παραλείπεται. Η παραπάνω διεύθυνση σε απλοποιημένη μορφή εμφανίζεται ως:
2001:db8:85a3:::8a2e:370:7334
Η διεύθυνση MAC είναι το ακρωνύμιο για τη διεύθυνση ελέγχου πρόσβασης πολυμέσων. Διευθύνσεις MAC χρησιμοποιούνται για τον μοναδικό προσδιορισμό διεπαφών δικτύου για επικοινωνία στο φυσικό επίπεδο του δικτύου. Οι διευθύνσεις MAC είναι συνήθως ενσωματωμένες στην κάρτα δικτύου.
Μια διεύθυνση MAC είναι σαν ένας σειριακός αριθμός ενός τηλεφώνου ενώ η διεύθυνση IP είναι σαν τον αριθμό τηλεφώνου.
Άσκηση
Θα υποθέσουμε ότι χρησιμοποιείτε παράθυρα για αυτήν την άσκηση. Ανοίξτε τη γραμμή εντολών.
Εισαγάγετε την εντολή
ipconfig /all
Θα λάβετε λεπτομερείς πληροφορίες σχετικά με όλες τις συνδέσεις δικτύου που είναι διαθέσιμες στον υπολογιστή σας. Τα αποτελέσματα που εμφανίζονται παρακάτω αφορούν ένα ευρυζωνικό μόντεμ που εμφανίζει τη διεύθυνση MAC και τη μορφή IPv4 και το ασύρματο δίκτυο για την εμφάνιση της μορφής IPv6.