Cos'è l'avvelenamento da ARP? Spoofing ARP con esempio
Che cos'è l'avvelenamento da ARP (spoofing ARP)
ARP è l'acronimo di Address Risoluzione Protocol. Viene utilizzato per convertire l'indirizzo IP in indirizzi fisici [indirizzo MAC] su uno switch. L'host invia una trasmissione ARP sulla rete e il computer destinatario risponde con il suo indirizzo fisico [Indirizzo MAC]. L'indirizzo IP/MAC risolto viene quindi utilizzato per comunicare. L'ARP-avvelenamento invia indirizzi MAC falsi allo switch in modo che possa associare gli indirizzi MAC falsi all'indirizzo IP di un computer autentico su una rete e dirottare il traffico.
Tipi di attacchi di avvelenamento ARP
- L'uomo nel mezzo attacca
- Intercettazione del traffico
- Attacchi Denial of Service (DoS)
Come prevenire gli attacchi di avvelenamento da ARP
Voci ARP statiche: questi possono essere definiti nella cache ARP locale e lo switch configurato per ignorare tutti i pacchetti di risposta ARP automatica. Lo svantaggio di questo metodo è che è difficile da mantenere su reti di grandi dimensioni. La mappatura degli indirizzi IP/MAC deve essere distribuita a tutti i computer della rete.
Software di rilevamento avvelenamento ARP: questi sistemi possono essere utilizzati per effettuare controlli incrociati sulla risoluzione degli indirizzi IP/MAC e certificarli se autenticati. Le risoluzioni degli indirizzi IP/MAC non certificati possono quindi essere bloccate.
Operazione della sicurezza del sistema: questa misura dipende dal sistema operativo utilizzato. Di seguito sono riportate le tecniche di base utilizzate dai vari sistemi operativi.
- Basato su Linux: funzionano ignorando i pacchetti di risposta ARP non richiesti.
- Microsoft Windows: il comportamento della cache ARP può essere configurato tramite il registro. L'elenco seguente include alcuni dei software che possono essere utilizzati per proteggere le reti dallo sniffing;
- AntiARP– fornisce protezione contro lo sniffing sia passivo che attivo
- Agnitum Outpost Firewall–fornisce protezione contro lo sniffing passivo
- XArp– fornisce protezione contro lo sniffing sia passivo che attivo
- Mac OS: ArpGuard può essere utilizzato per fornire protezione. Protegge dallo sniffing sia attivo che passivo.
Attività di hacking: configura le voci ARP in Windows
Stiamo utilizzando Windows 7 per questo esercizio, ma i comandi dovrebbero funzionare anche su altre versioni di Windows.
Aprire il prompt dei comandi e immettere il seguente comando
arp –a
QUI,
- aprile chiama il programma di configurazione ARP situato in Windowsdirectory /System32
- -a è il parametro da visualizzare nel contenuto della cache ARP
Otterrai risultati simili ai seguenti
Note:: voci dinamiche vengono aggiunti ed eliminati automaticamente durante l'utilizzo TCP / IP sessioni con computer remoti.
Voci statiche vengono aggiunti manualmente e vengono eliminati al riavvio del computer e della scheda di interfaccia di rete o ad altre attività che lo influenzano.
Aggiunta di voci statiche
Apri il prompt dei comandi quindi utilizza il comando ipconfig /all per ottenere l'indirizzo IP e MAC
L'indirizzo MAC è rappresentato utilizzando l'indirizzo fisico e l'indirizzo IP è IPv4Address
Immettere il comando seguente
arp –s 192.168.1.38 60-36-DD-A6-C5-43
Nota: l'indirizzo IP e MAC saranno diversi da quelli utilizzati qui. Questo perché sono unici.
Utilizzare il seguente comando per visualizzare la cache ARP
arp –a
Otterrai i seguenti risultati
Tieni presente che l'indirizzo IP è stato risolto nell'indirizzo MAC che abbiamo fornito ed è di tipo statico.
Eliminazione di una voce della cache ARP
Utilizzare il seguente comando per rimuovere una voce
arp –d 192.168.1.38
PS L'avvelenamento da ARP funziona inviando indirizzi MAC falsi allo switch
Cosa sono gli indirizzi IP e MAC
Indirizzo IP è l'acronimo di indirizzo del protocollo Internet. Un indirizzo di protocollo Internet viene utilizzato per identificare in modo univoco un computer o un dispositivo come stampanti, dischi di archiviazione su una rete di computer. Attualmente esistono due versioni di indirizzi IP. IPv4 utilizza numeri a 32 bit. A causa della massiccia crescita di Internet, è stato sviluppato IPv6 e utilizza numeri a 128 bit.
Gli indirizzi IPv4 sono formattati in quattro gruppi di numeri separati da punti. Il numero minimo è 0 e il numero massimo è 255. Un esempio di an IPv4 l'indirizzo è simile a questo;
127.0.0.1
Gli indirizzi IPv6 sono formattati in gruppi di sei numeri separati da due punti completi. I numeri dei gruppi sono scritti come 4 cifre esadecimali. Un esempio di indirizzo IPv6 è simile al seguente;
2001:0db8:85a3:0000:0000:8a2e:0370:7334
Per semplificare la rappresentazione degli indirizzi IP in formato testo, vengono omessi gli zeri iniziali e il gruppo di zeri completati. L'indirizzo sopra in formato semplificato viene visualizzato come;
2001:db8:85a3:::8a2e:370:7334
L'indirizzo MAC è l'acronimo di indirizzo di controllo dell'accesso ai media. Indirizzi MAC vengono utilizzati per identificare in modo univoco le interfacce di rete per la comunicazione a livello fisico della rete. Gli indirizzi MAC sono solitamente incorporati nella scheda di rete.
Un indirizzo MAC è come un numero di serie di un telefono mentre l'indirizzo IP è come il numero di telefono.
Fai esercizio
Supponiamo che tu stia usando Windows per questo esercizio. Apri il prompt dei comandi.
Inserisci il comando
ipconfig /all
Otterrai informazioni dettagliate su tutte le connessioni di rete disponibili sul tuo computer. I risultati mostrati di seguito riguardano un modem a banda larga per mostrare l'indirizzo MAC e il formato IPv4 e una rete wireless per mostrare il formato IPv6.