Co to jest zatrucie ARP? Podszywanie się pod ARP z przykładem

Co to jest zatrucie ARP (podszywanie się pod ARP)

ARP to skrót od protokołu rozpoznawania adresów. Służy do konwersji adresu IP na adres fizyczny [adres MAC] na przełączniku. Host wysyła rozgłoszenie ARP w sieci, a komputer odbiorcy odpowiada, podając swój adres fizyczny [adres MAC]. Rozpoznany adres IP/MAC jest następnie używany do komunikacji. Zatrucie ARP polega na wysyłaniu fałszywych adresów MAC do przełącznika, dzięki czemu może on powiązać fałszywe adresy MAC z adresem IP prawdziwego komputera w sieci i przejąć ruch.

Rodzaje ataków zatruwających ARP

  • Człowiek w środku atakuje
  • Przechwytywanie ruchu
  • Ataki typu „odmowa usługi” (DoS).

Jak zapobiegać atakom zatruć ARP

Statyczne wpisy ARP: można je zdefiniować w lokalnej pamięci podręcznej ARP, a przełącznik skonfigurować tak, aby ignorował wszystkie pakiety automatycznej odpowiedzi ARP. Wadą tej metody jest to, że jest trudna w utrzymaniu w dużych sieciach. Mapowanie adresów IP/MAC musi zostać rozesłane do wszystkich komputerów w sieci.

Oprogramowanie do wykrywania zatruć ARP: tych systemów można używać do krzyżowego sprawdzania rozdzielczości adresów IP/MAC i ich certyfikacji, jeśli są uwierzytelnione. Niecertyfikowane rozpoznawanie adresów IP/MAC może zostać następnie zablokowane.

Operabezpieczeństwo systemu: ta miara jest zależna od używanego systemu operacyjnego. Poniżej przedstawiono podstawowe techniki stosowane przez różne systemy operacyjne.

  • Oparty na systemie Linux: działają poprzez ignorowanie niechcianych pakietów odpowiedzi ARP.
  • Microsoft Windows: zachowanie pamięci podręcznej ARP można skonfigurować za pomocą rejestru. Poniższa lista zawiera niektóre oprogramowania, które można wykorzystać do ochrony sieci przed podsłuchiwaniem;
  • AntyARP– zapewnia ochronę zarówno przed biernym, jak i aktywnym wąchaniem
  • Agnitum Outpost Firewall–zapewnia ochronę przed biernym wąchaniem
  • XArp– zapewnia ochronę zarówno przed biernym, jak i aktywnym wąchaniem
  • Mac OS: ArpGuard może służyć do zapewnienia ochrony. Chroni zarówno przed wąchaniem aktywnym, jak i biernym.

Aktywność hakerska: Skonfiguruj wpisy ARP w Windows

Używamy Windows 7 na potrzeby tego ćwiczenia, ale polecenia powinny działać również w innych wersjach systemu Windows.

Otwórz wiersz poleceń i wprowadź następujące polecenie

arp –a

TUTAJ,

  • kwiecień wywołuje program konfiguracyjny ARP znajdujący się w WindowsKatalog /System32
  • -a to parametr wyświetlany zawartości pamięci podręcznej ARP

Otrzymasz wyniki podobne do następujących

Skonfiguruj wpisy ARP w Windows

Note: wpisy dynamiczne są dodawane i usuwane automatycznie podczas używania TCP / IP sesje z komputerami zdalnymi.

Wpisy statyczne są dodawane ręcznie i usuwane po ponownym uruchomieniu komputera, ponownym uruchomieniu karty sieciowej lub innych działaniach mających na nią wpływ.

Dodawanie wpisów statycznych

Otwórz wiersz poleceń, a następnie użyj polecenia ipconfig /all, aby uzyskać adresy IP i MAC

Dodawanie wpisów statycznych

Adres MAC jest reprezentowany za pomocą adresu fizycznego, a adres IP to adres IPv4

Wpisz następujące polecenie

arp –s  192.168.1.38 60-36-DD-A6-C5-43

Dodawanie wpisów statycznych

Uwaga: Adresy IP i MAC będą inne niż użyte tutaj. Dzieje się tak dlatego, że są wyjątkowe.

Użyj poniższego polecenia, aby wyświetlić pamięć podręczną ARP

arp –a

Otrzymasz następujące wyniki

Dodawanie wpisów statycznych

Uwaga: adres IP został przekształcony w podany przez nas adres MAC i jest typu statycznego.

Usuwanie wpisu pamięci podręcznej ARP

Aby usunąć wpis, użyj następującego polecenia

arp –d 192.168.1.38

Usuwanie wpisu pamięci podręcznej ARP

PS Zatruwanie ARP polega na wysyłaniu fałszywych adresów MAC do przełącznika

Co to jest adres IP i MAC

Adres IP to skrót od Internet Protocol address (adres protokołu internetowego). Adres protokołu internetowego jest używany do jednoznacznej identyfikacji komputera lub urządzenia, takiego jak drukarki, dyski pamięci masowej w sieci komputerowej. Obecnie istnieją dwie wersje adresów IP. IPv4 używa 32-bitowych liczb. Ze względu na ogromny wzrost Internetu opracowano IPv6, który używa 128-bitowych liczb.

Adresy IPv4 są formatowane w czterech grupach liczb oddzielonych kropkami. Minimalna liczba to 0, a maksymalna to 255. Przykład IPv4 adres wygląda tak;

127.0.0.1

Adresy IPv6 są formatowane w grupach po sześć liczb rozdzielonych pełnymi dwukropkami. Numery grup są zapisywane jako 4 cyfry szesnastkowe. Przykład adresu IPv6 wygląda tak;

2001:0db8:85a3:0000:0000:8a2e:0370:7334

Aby uprościć reprezentację adresów IP w formacie tekstowym, pomija się zera wiodące, a grupę zer całkowicie pomija. Powyższy adres w uproszczonym formacie jest wyświetlany jako;

2001:db8:85a3:::8a2e:370:7334

Adres MAC to skrót od adresu kontroli dostępu do multimediów. Adresy MAC służą do jednoznacznej identyfikacji interfejsów sieciowych do komunikacji w warstwie fizycznej sieci. Adresy MAC są zwykle wbudowane w kartę sieciową.

Adres MAC jest jak numer seryjny telefonu, a adres IP jest jak numer telefonu.

Ćwicz

Załóżmy, że używasz systemu Windows w tym ćwiczeniu. Otwórz wiersz poleceń.

Wprowadź polecenie

ipconfig /all

Otrzymasz szczegółowe informacje o wszystkich połączeniach sieciowych dostępnych na Twoim komputerze. Wyniki pokazane poniżej dotyczą modemu szerokopasmowego pokazującego adres MAC i format IPv4 oraz sieci bezprzewodowej pokazującej format IPv6.

Ćwiczenie z adresami IP i MAC

Ćwiczenie z adresami IP i MAC