Vad är ARP-förgiftning? ARP-spoofing med exempel
Vad är ARP-förgiftning (ARP-spoofing)
ARP är akronymen för Address Resolution Protocol. Den används för att konvertera IP-adresser till fysiska adresser [MAC-adress] på en switch. Värden skickar en ARP-sändning på nätverket och mottagardatorn svarar med sin fysiska adress [MAC-adress]. Den lösta IP/MAC-adressen används sedan för att kommunicera. ARP-förgiftning är att skicka falska MAC-adresser till switchen så att den kan associera de falska MAC-adresserna med IP-adressen för en äkta dator i ett nätverk och kapa trafiken.
Typer av ARP-förgiftningsattacker
- Man i mitten attackerar
- Trafikavlyssning
- Denial of Service (DoS)-attacker
Hur man förhindrar ARP-förgiftningsattacker
Statiska ARP-poster: dessa kan definieras i den lokala ARP-cachen och switchen konfigureras för att ignorera alla automatiska ARP-svarspaket. Nackdelen med denna metod är att den är svår att underhålla på stora nätverk. IP/MAC-adressmappning måste distribueras till alla datorer i nätverket.
ARP-program för att upptäcka förgiftning: dessa system kan användas för att korskontrollera IP/MAC-adressupplösningen och certifiera dem om de är autentiserade. Ocertifierade IP/MAC-adressupplösningar kan sedan blockeras.
Operasystemsäkerhet: detta mått beror på vilket operativsystem som använts. Följande är de grundläggande teknikerna som används av olika operativsystem.
- Linux-baserade: dessa fungerar genom att ignorera oönskade ARP-svarspaket.
- Microsoft Windows: ARP-cachebeteendet kan konfigureras via registret. Följande lista innehåller några av de program som kan användas för att skydda nätverk mot sniffning;
- AntiARP– ger skydd mot både passiv och aktiv sniffning
- Agnitum Outpost Firewall–ger skydd mot passiv sniffning
- XArp– ger skydd mot både passiv och aktiv sniffning
- Mac OS: ArpGuard kan användas för att ge skydd. Den skyddar mot både aktiv och passiv sniffning.
Hackingaktivitet: Konfigurera ARP-poster i Windows
Vi använder Windows 7 för den här övningen, men kommandona bör kunna fungera på andra versioner av Windows också.
Öppna kommandotolken och ange följande kommando
arp –a
HÄR,
- april anropar ARP-konfigureringsprogrammet som finns i Windows/System32-katalogen
- -a är parametern som ska visas för innehållet i ARP-cachen
Du kommer att få resultat som liknar följande
Anmärkningar: dynamiska poster läggs till och raderas automatiskt vid användning TCP / IP- sessioner med fjärrdatorer.
Statiska poster läggs till manuellt och tas bort när datorn startas om och nätverkskortet startas om eller andra aktiviteter som påverkar det.
Lägga till statiska poster
Öppna kommandotolken och använd sedan kommandot ipconfig /all för att få IP- och MAC-adressen
MAC-adressen representeras med den fysiska adressen och IP-adressen är IPv4Address
Ange följande kommando
arp –s 192.168.1.38 60-36-DD-A6-C5-43
Obs: IP- och MAC-adressen kommer att skilja sig från de som används här. Detta beror på att de är unika.
Använd följande kommando för att visa ARP-cachen
arp –a
Du kommer att få följande resultat
Observera att IP-adressen har lösts till den MAC-adress vi angav och att den är av statisk typ.
Ta bort en ARP-cachepost
Använd följande kommando för att ta bort en post
arp –d 192.168.1.38
PS ARP-förgiftning fungerar genom att skicka falska MAC-adresser till switchen
Vad är IP- och MAC-adresser
IP-adress är förkortningen för Internet Protocol-adress. En internetprotokolladress används för att unikt identifiera en dator eller enhet som skrivare, lagringsdiskar i ett datornätverk. Det finns för närvarande två versioner av IP-adresser. IPv4 använder 32-bitars nummer. På grund av den massiva tillväxten av internet har IPv6 utvecklats, och den använder 128-bitars nummer.
IPv4-adresser är formaterade i fyra grupper av siffror separerade med punkter. Minsta antalet är 0, och det maximala antalet är 255. Ett exempel på en IPv4 adressen ser ut så här;
127.0.0.1
IPv6-adresser är formaterade i grupper om sex tal separerade med kolon. Gruppnumren skrivs som 4 hexadecimala siffror. Ett exempel på en IPv6-adress ser ut så här;
2001:0db8:85a3:0000:0000:8a2e:0370:7334
För att förenkla representationen av IP-adresserna i textformat utelämnas inledande nollor, och gruppen med nollor är komplett utelämnad. Ovanstående adress i ett förenklat format visas som;
2001:db8:85a3:::8a2e:370:7334
MAC-adress är förkortningen för mediaåtkomstkontrolladress. MAC-adresser används för att unikt identifiera nätverksgränssnitt för kommunikation i det fysiska lagret av nätverket. MAC-adresser är vanligtvis inbäddade i nätverkskortet.
En MAC-adress är som ett serienummer på en telefon medan IP-adressen är som telefonnumret.
Motionera
Vi antar att du använder windows för denna övning. Öppna kommandotolken.
Ange kommandot
ipconfig /all
Du kommer att få detaljerad information om alla nätverksanslutningar som finns på din dator. Resultaten som visas nedan är för ett bredbandsmodem som visar MAC-adressen och IPv4-formatet och det trådlösa nätverket visar IPv6-formatet.