Wat is ARP-vergiftiging? ARP-spoofing met voorbeeld

Wat is ARP-vergiftiging (ARP-spoofing)

ARP is de afkorting voor Address Resolution Protocol. Het wordt gebruikt om het IP-adres op een switch om te zetten in fysieke adressen [MAC-adres]. De host verzendt een ARP-broadcast over het netwerk en de ontvangende computer antwoordt met zijn fysieke adres [MAC-adres]. Het opgeloste IP/MAC-adres wordt vervolgens gebruikt om te communiceren. ARP-vergiftiging verzendt valse MAC-adressen naar de switch, zodat deze de valse MAC-adressen kan associëren met het IP-adres van een echte computer in een netwerk en het verkeer kan kapen.

Soorten ARP-vergiftigingsaanvallen

  • Man in the middle-aanvallen
  • Onderschepping van verkeer
  • Denial of Service (DoS)-aanvallen

Hoe ARP-vergiftigingsaanvallen te voorkomen

Statische ARP-vermeldingen: deze kunnen worden gedefinieerd in de lokale ARP-cache en de switch kan worden geconfigureerd om alle automatische ARP-antwoordpakketten te negeren. Het nadeel van deze methode is dat deze moeilijk te onderhouden is op grote netwerken. IP/MAC-adrestoewijzing moet worden gedistribueerd naar alle computers in het netwerk.

ARP-vergiftigingsdetectiesoftware: deze systemen kunnen worden gebruikt om de resolutie van het IP/MAC-adres te controleren en deze te certificeren als ze zijn geverifieerd. Niet-gecertificeerde IP/MAC-adresresoluties kunnen vervolgens worden geblokkeerd.

OperaSysteembeveiliging instellen: deze maatregel is afhankelijk van het gebruikte besturingssysteem. Hieronder staan ​​de basistechnieken die door verschillende besturingssystemen worden gebruikt.

  • Linux gebaseerde: deze werken door ongevraagde ARP-antwoordpakketten te negeren.
  • Microsoft Windows: het ARP-cachegedrag kan worden geconfigureerd via het register. De volgende lijst bevat een aantal softwareprogramma's die kunnen worden gebruikt om netwerken te beschermen tegen sniffing;
  • Anti-ARP– biedt bescherming tegen zowel passief als actief snuiven
  • Agnitum Outpost Firewall–biedt bescherming tegen passief snuiven
  • XArp– biedt bescherming tegen zowel passief als actief snuiven
  • Mac OS: ArpGuard kan worden gebruikt om bescherming te bieden. Het beschermt tegen zowel actief als passief snuiven.

Hackactiviteit: configureer ARP-vermeldingen in Windows

We gebruiken Windows 7 voor deze oefening, maar de opdrachten zouden ook op andere versies van Windows moeten werken.

Open de opdrachtprompt en voer de volgende opdracht in

arp –a

HIER,

  • april roept het ARP-configuratieprogramma aan dat zich in Windows/System32-map
  • -a is de parameter die moet worden weergegeven voor de inhoud van de ARP-cache

U krijgt resultaten die vergelijkbaar zijn met de volgende

Configureer ARP-vermeldingen in Windows

Note: dynamische inzendingen worden automatisch toegevoegd en verwijderd tijdens gebruik TCP / IP sessies met externe computers.

Statische vermeldingen worden handmatig toegevoegd en verwijderd wanneer de computer opnieuw wordt opgestart, de netwerkinterfacekaart opnieuw wordt opgestart of andere activiteiten die daarop van invloed zijn.

Statische vermeldingen toevoegen

Open de opdrachtprompt en gebruik vervolgens de opdracht ipconfig /all om het IP- en MAC-adres op te halen

Statische vermeldingen toevoegen

Het MAC-adres wordt weergegeven met behulp van het fysieke adres en het IP-adres is IPv4Address

Voer de volgende opdracht in

arp –s  192.168.1.38 60-36-DD-A6-C5-43

Statische vermeldingen toevoegen

Opmerking: het IP- en MAC-adres zullen verschillen van de hier gebruikte. Dit komt omdat ze uniek zijn.

Gebruik de volgende opdracht om de ARP-cache te bekijken

arp –a

U krijgt de volgende resultaten

Statische vermeldingen toevoegen

Houd er rekening mee dat het IP-adres is omgezet naar het MAC-adres dat we hebben opgegeven en dat het van een statisch type is.

Een ARP-cache-item verwijderen

Gebruik de volgende opdracht om een ​​item te verwijderen

arp –d 192.168.1.38

Een ARP-cache-item verwijderen

PS ARP-vergiftiging werkt door valse MAC-adressen naar de switch te sturen

Wat zijn IP- en MAC-adressen

IP-adres is de afkorting voor Internet Protocol-adres. Een internetprotocol-adres wordt gebruikt om een ​​computer of apparaat, zoals printers, opslagschijven op een computernetwerk, uniek te identificeren. Er zijn momenteel twee versies van IP-adressen. IPv4 gebruikt 32-bits getallen. Vanwege de enorme groei van het internet is IPv6 ontwikkeld, dat 128-bits getallen gebruikt.

IPv4-adressen worden geformatteerd in vier groepen getallen, gescheiden door punten. Het minimum aantal is 0 en het maximum aantal is 255. Een voorbeeld van een IPv4 adres ziet er zo uit;

127.0.0.1

IPv6-adressen worden geformatteerd in groepen van zes getallen gescheiden door volledige dubbele punten. De groepsnummers worden geschreven als 4 hexadecimale cijfers. Een voorbeeld van een IPv6-adres ziet er zo uit;

2001:0db8:85a3:0000:0000:8a2e:0370:7334

Om de weergave van de IP-adressen in tekstformaat te vereenvoudigen, worden voorloopnullen weggelaten en wordt de groep nullen volledig weggelaten. Het bovenstaande adres in een vereenvoudigd formaat wordt weergegeven als;

2001:db8:85a3:::8a2e:370:7334

MAC-adres is de afkorting voor Media Access Control-adres. MAC-adressen worden gebruikt om netwerkinterfaces op unieke wijze te identificeren voor communicatie op de fysieke laag van het netwerk. MAC-adressen zijn meestal ingebed in de netwerkkaart.

Een MAC-adres is als een serienummer van een telefoon, terwijl het IP-adres als het telefoonnummer is.

Oefening

We gaan ervan uit dat u Windows gebruikt voor deze oefening. Open de opdrachtprompt.

Voer de opdracht in

ipconfig /all

U krijgt gedetailleerde informatie over alle netwerkverbindingen die op uw computer beschikbaar zijn. De onderstaande resultaten gelden voor een breedbandmodem die het MAC-adres en het IPv4-formaat weergeeft, en voor een draadloos netwerk dat het IPv6-formaat weergeeft.

IP- en MAC-adressen Oefening

IP- en MAC-adressen Oefening