O que é envenenamento por ARP? Falsificação de ARP com exemplo

O que é envenenamento por ARP (falsificação de ARP)

ARP é a sigla para Protocolo de Resolução de Endereços. É usado para converter endereços IP em endereços físicos [endereço MAC] em um switch. O host envia uma transmissão ARP na rede e o computador destinatário responde com seu endereço físico [Endereço MAC]. O endereço IP/MAC resolvido é então usado para comunicação. O envenenamento ARP está enviando endereços MAC falsos ao switch para que ele possa associar os endereços MAC falsos ao endereço IP de um computador genuíno em uma rede e sequestrar o tráfego.

Tipos de ataques de envenenamento por ARP

  • Homem no meio ataca
  • Interceptação de tráfego
  • Ataques de negação de serviço (DoS)

Como prevenir ataques de envenenamento por ARP

Entradas ARP estáticas: podem ser definidos no cache ARP local e no switch configurado para ignorar todos os pacotes de resposta ARP automática. A desvantagem desse método é que ele é difícil de manter em redes grandes. O mapeamento de endereços IP/MAC deve ser distribuído a todos os computadores da rede.

Software de detecção de envenenamento ARP: esses sistemas podem ser usados ​​para verificar a resolução dos endereços IP/MAC e certificá-los se estiverem autenticados. Resoluções de endereços IP/MAC não certificadas podem então ser bloqueadas.

Segurança do sistema operacional: esta medida depende do sistema operacional utilizado. O seguintewing são as técnicas básicas usadas por vários sistemas operacionais.

  • Baseado em Linux: funcionam ignorando pacotes de resposta ARP não solicitados.
  • Microsoft Windows: o comportamento do cache ARP pode ser configurado por meio do registro. O seguintewing a lista inclui alguns dos softwares que podem ser usados ​​para proteger redes contra sniffing;
  • AntiARP– fornece proteção contra sniffing passivo e ativo
  • Agnitum Outpost Firewall–fornece proteção contra cheirar passivamente
  • XArp– fornece proteção contra sniffing passivo e ativo
  • Mac OS: ArpGuard pode ser usado para fornecer proteção. Ele protege contra cheiros ativos e passivos.

Atividade de hacking: configurar entradas ARP em Windows

Nós estamos usando Windows 7 para este exercício, mas os comandos devem funcionar em outras versões do windows tão bem.

Abra o prompt de comando e digite o seguintewing comando

arp –a

AQUI,

  • abrilchama o programa de configuração ARP localizado em WindowsDiretório /System32
  • -a é o parâmetro a ser exibido no conteúdo do cache ARP

Você obterá resultados semelhantes aos seguinteswing

Configurar entradas ARP em Windows

Note: entradas dinâmicas são adicionados e excluídos automaticamente ao usar TCP / IP sessões com computadores remotos.

Entradas estáticas são adicionados manualmente e excluídos quando o computador é reiniciado e a placa de interface de rede é reiniciada ou outras atividades que a afetam.

Adicionando entradas estáticas

Abra o prompt de comando e use o comando ipconfig /all para obter o endereço IP e MAC

Adicionando entradas estáticas

O endereço MAC é representado usando o endereço físico e o endereço IP é IPv4Address

Digite o seguintewing comando

arp –s  192.168.1.38 60-36-DD-A6-C5-43

Adicionando entradas estáticas

Nota: Os endereços IP e MAC serão diferentes dos usados ​​aqui. Isso ocorre porque eles são únicos.

Use o seguintewing comando para visualizar o cache ARP

arp –a

Você receberá o seguintewing resultados

Adicionando entradas estáticas

Observe que o endereço IP foi resolvido para o endereço MAC que fornecemos e é do tipo estático.

Excluindo uma entrada de cache ARP

Use o seguintewing comando para remover uma entrada

arp –d 192.168.1.38

Excluindo uma entrada de cache ARP

PS O envenenamento por ARP funciona enviando endereços MAC falsos para o switch

O que são endereços IP e MAC

Endereço IP é a sigla para endereço de protocolo da Internet. Um endereço de protocolo da Internet é usado para identificar exclusivamente um computador ou dispositivo, como impressoras e discos de armazenamento em uma rede de computadores. Existem atualmente duas versões de endereços IP. IPv4 usa números de 32 bits. Devido ao enorme crescimento da Internet, o IPv6 foi desenvolvido e utiliza números de 128 bits.

Os endereços IPv4 são formatados em quatro grupos de números separados por pontos. O número mínimo é 0 e o número máximo é 255. Um exemplo de IPv4 o endereço é assim;

127.0.0.1

Os endereços IPv6 são formatados em grupos de seis números separados por dois pontos completos. Os números dos grupos são escritos como 4 dígitos hexadecimais. Um exemplo de endereço IPv6 é semelhante a este;

2001:0db8:85a3:0000:0000:8a2e:0370:7334

Para simplificar a representação dos endereços IP em formato de texto, os zeros iniciais são omitidos e o grupo de zeros é completamente omitido. O endereço acima em formato simplificado é exibido como;

2001:db8:85a3:::8a2e:370:7334

Endereço MAC é o acrônimo para endereço de controle de acesso à mídia. Endereços MAC são usados ​​para identificar exclusivamente interfaces de rede para comunicação na camada física da rede. Os endereços MAC geralmente são incorporados à placa de rede.

Um endereço MAC é como o número de série de um telefone, enquanto o endereço IP é como o número de telefone.

Exercício

Vamos assumir que você está usando windows para este exercício. Abra o prompt de comando.

Digite o comando

ipconfig /all

Você obterá informações detalhadas sobre todas as conexões de rede disponíveis em seu computador. Os resultados mostrados abaixo são para um modem de banda larga mostrar o endereço MAC e o formato IPv4 e uma rede sem fio para mostrar o formato IPv6.

Exercício de endereços IP e MAC

Exercício de endereços IP e MAC

Guru99 é patrocinado pela Invicti
Invictos

A Invicti, desenvolvedora da tecnologia Proof Based Scanning, patrocinou o projeto Guru99 para ajudar a aumentar a conscientização sobre segurança de aplicações web e permitir que mais desenvolvedores aprendam como escrever código seguro