Cos'è l'avvelenamento da ARP? Spoofing ARP con esempio

Che cos'è l'avvelenamento da ARP (spoofing ARP)

ARP è l'acronimo di Address Risoluzione Protocol. Viene utilizzato per convertire l'indirizzo IP in indirizzi fisici [indirizzo MAC] su uno switch. L'host invia una trasmissione ARP sulla rete e il computer destinatario risponde con il suo indirizzo fisico [Indirizzo MAC]. L'indirizzo IP/MAC risolto viene quindi utilizzato per comunicare. L'ARP-avvelenamento invia indirizzi MAC falsi allo switch in modo che possa associare gli indirizzi MAC falsi all'indirizzo IP di un computer autentico su una rete e dirottare il traffico.

Tipi di attacchi di avvelenamento ARP

  • L'uomo nel mezzo attacca
  • Intercettazione del traffico
  • Attacchi Denial of Service (DoS)

Come prevenire gli attacchi di avvelenamento da ARP

Voci ARP statiche: questi possono essere definiti nella cache ARP locale e lo switch configurato per ignorare tutti i pacchetti di risposta ARP automatica. Lo svantaggio di questo metodo è che è difficile da mantenere su reti di grandi dimensioni. La mappatura degli indirizzi IP/MAC deve essere distribuita a tutti i computer della rete.

Software di rilevamento avvelenamento ARP: questi sistemi possono essere utilizzati per effettuare controlli incrociati sulla risoluzione degli indirizzi IP/MAC e certificarli se autenticati. Le risoluzioni degli indirizzi IP/MAC non certificati possono quindi essere bloccate.

Operazione della sicurezza del sistema: questa misura dipende dal sistema operativo utilizzato. Di seguito sono riportate le tecniche di base utilizzate dai vari sistemi operativi.

  • Basato su Linux: funzionano ignorando i pacchetti di risposta ARP non richiesti.
  • Microsoft Windows: il comportamento della cache ARP può essere configurato tramite il registro. L'elenco seguente include alcuni dei software che possono essere utilizzati per proteggere le reti dallo sniffing;
  • AntiARP– fornisce protezione contro lo sniffing sia passivo che attivo
  • Agnitum Outpost Firewall–fornisce protezione contro lo sniffing passivo
  • XArp– fornisce protezione contro lo sniffing sia passivo che attivo
  • Mac OS: ArpGuard può essere utilizzato per fornire protezione. Protegge dallo sniffing sia attivo che passivo.

Attività di hacking: configura le voci ARP in Windows

Stiamo utilizzando Windows 7 per questo esercizio, ma i comandi dovrebbero funzionare anche su altre versioni di Windows.

Aprire il prompt dei comandi e immettere il seguente comando

arp –a

QUI,

  • aprile chiama il programma di configurazione ARP situato in Windowsdirectory /System32
  • -a è il parametro da visualizzare nel contenuto della cache ARP

Otterrai risultati simili ai seguenti

Configura le voci ARP in Windows

Note:: voci dinamiche vengono aggiunti ed eliminati automaticamente durante l'utilizzo TCP / IP sessioni con computer remoti.

Voci statiche vengono aggiunti manualmente e vengono eliminati al riavvio del computer e della scheda di interfaccia di rete o ad altre attività che lo influenzano.

Aggiunta di voci statiche

Apri il prompt dei comandi quindi utilizza il comando ipconfig /all per ottenere l'indirizzo IP e MAC

Aggiunta di voci statiche

L'indirizzo MAC è rappresentato utilizzando l'indirizzo fisico e l'indirizzo IP è IPv4Address

Immettere il comando seguente

arp –s  192.168.1.38 60-36-DD-A6-C5-43

Aggiunta di voci statiche

Nota: l'indirizzo IP e MAC saranno diversi da quelli utilizzati qui. Questo perché sono unici.

Utilizzare il seguente comando per visualizzare la cache ARP

arp –a

Otterrai i seguenti risultati

Aggiunta di voci statiche

Tieni presente che l'indirizzo IP è stato risolto nell'indirizzo MAC che abbiamo fornito ed è di tipo statico.

Eliminazione di una voce della cache ARP

Utilizzare il seguente comando per rimuovere una voce

arp –d 192.168.1.38

Eliminazione di una voce della cache ARP

PS L'avvelenamento da ARP funziona inviando indirizzi MAC falsi allo switch

Cosa sono gli indirizzi IP e MAC

Indirizzo IP è l'acronimo di indirizzo del protocollo Internet. Un indirizzo di protocollo Internet viene utilizzato per identificare in modo univoco un computer o un dispositivo come stampanti, dischi di archiviazione su una rete di computer. Attualmente esistono due versioni di indirizzi IP. IPv4 utilizza numeri a 32 bit. A causa della massiccia crescita di Internet, è stato sviluppato IPv6 e utilizza numeri a 128 bit.

Gli indirizzi IPv4 sono formattati in quattro gruppi di numeri separati da punti. Il numero minimo è 0 e il numero massimo è 255. Un esempio di an IPv4 l'indirizzo è simile a questo;

127.0.0.1

Gli indirizzi IPv6 sono formattati in gruppi di sei numeri separati da due punti completi. I numeri dei gruppi sono scritti come 4 cifre esadecimali. Un esempio di indirizzo IPv6 è simile al seguente;

2001:0db8:85a3:0000:0000:8a2e:0370:7334

Per semplificare la rappresentazione degli indirizzi IP in formato testo, vengono omessi gli zeri iniziali e il gruppo di zeri completati. L'indirizzo sopra in formato semplificato viene visualizzato come;

2001:db8:85a3:::8a2e:370:7334

L'indirizzo MAC è l'acronimo di indirizzo di controllo dell'accesso ai media. Indirizzi MAC vengono utilizzati per identificare in modo univoco le interfacce di rete per la comunicazione a livello fisico della rete. Gli indirizzi MAC sono solitamente incorporati nella scheda di rete.

Un indirizzo MAC è come un numero di serie di un telefono mentre l'indirizzo IP è come il numero di telefono.

Fai esercizio

Supponiamo che tu stia usando Windows per questo esercizio. Apri il prompt dei comandi.

Inserisci il comando

ipconfig /all

Otterrai informazioni dettagliate su tutte le connessioni di rete disponibili sul tuo computer. I risultati mostrati di seguito riguardano un modem a banda larga per mostrare l'indirizzo MAC e il formato IPv4 e una rete wireless per mostrare il formato IPv6.

Esercizio sugli indirizzi IP e MAC

Esercizio sugli indirizzi IP e MAC