พิษ ARP คืออะไร? การปลอมแปลง ARP พร้อมตัวอย่าง

โดย: โอลิเวอร์โจนส์ โอลิเวอร์โจนส์
Hours วันที่อัพเดท

ARP Poisoning (การปลอมแปลง ARP) คืออะไร

ARP เป็นตัวย่อสำหรับ Address Resolution Protocol- มันถูกใช้เพื่อแปลงที่อยู่ IP เป็นที่อยู่ทางกายภาพ [ที่อยู่ MAC] บนสวิตช์ โฮสต์ส่งการออกอากาศ ARP บนเครือข่าย และคอมพิวเตอร์ผู้รับตอบสนองด้วยที่อยู่จริง [ที่อยู่ MAC] ที่อยู่ IP/MAC ที่ได้รับการแก้ปัญหาจะถูกนำมาใช้ในการสื่อสาร พิษของ ARP กำลังส่งที่อยู่ MAC ปลอมไปยังสวิตช์ เพื่อให้สามารถเชื่อมโยงที่อยู่ MAC ปลอมกับที่อยู่ IP ของคอมพิวเตอร์ของแท้บนเครือข่ายและแย่งชิงการรับส่งข้อมูล

ประเภทของการโจมตีพิษ ARP

  • ชายในการโจมตีระดับกลาง
  • การสกัดกั้นการจราจร
  • การโจมตีแบบปฏิเสธการให้บริการ (DoS)

วิธีป้องกันการโจมตีพิษ ARP

รายการ ARP แบบคงที่: สามารถกำหนดสิ่งเหล่านี้ได้ในแคช ARP ในเครื่องและสวิตช์กำหนดค่าให้ละเว้นแพ็กเก็ตตอบกลับ ARP อัตโนมัติทั้งหมด ข้อเสียของวิธีนี้คือ ดูแลรักษาบนเครือข่ายขนาดใหญ่ได้ยาก จะต้องกระจายการแมปที่อยู่ IP/MAC ไปยังคอมพิวเตอร์ทุกเครื่องบนเครือข่าย

ซอฟต์แวร์ตรวจจับพิษ ARP: ระบบเหล่านี้สามารถใช้เพื่อตรวจสอบความละเอียดของที่อยู่ IP/MAC และรับรองว่าได้รับการตรวจสอบสิทธิ์หรือไม่ คุณสามารถบล็อกการแก้ไขที่อยู่ IP/MAC ที่ไม่ผ่านการรับรองได้

Operaความปลอดภัยของระบบ:การวัดนี้ขึ้นอยู่กับระบบปฏิบัติการที่ใช้ ต่อไปนี้เป็นเทคนิคพื้นฐานที่ใช้โดยระบบปฏิบัติการต่างๆ

  • ใช้ Linux: ทำงานโดยไม่สนใจแพ็กเก็ตตอบกลับ ARP ที่ไม่พึงประสงค์
  • Microsoft Windows: สามารถกำหนดค่าพฤติกรรมแคช ARP ได้ผ่านทางรีจิสทรี รายการต่อไปนี้ประกอบด้วยซอฟต์แวร์บางส่วนที่สามารถใช้ป้องกันเครือข่ายจากการดักจับข้อมูล
  • ต่อต้านเออาร์พี– ให้การป้องกันทั้งการดมแบบพาสซีฟและแอคทีฟ
  • Agnitum Outpost Firewall– ให้การป้องกันจากการดมแบบพาสซีฟ
  • XArp– ให้การป้องกันทั้งการดมแบบพาสซีฟและแอคทีฟ
  • Mac OS: ArpGuard สามารถใช้ในการป้องกันได้ ป้องกันการดมทั้งแบบแอคทีฟและพาสซีฟ

บทความที่เกี่ยวข้อง

กิจกรรมการแฮ็ก: กำหนดค่ารายการ ARP ใน Windows

เรากำลังใช้ Windows 7 สำหรับการฝึกซ้อมนี้ แต่คำสั่งควรสามารถทำงานบน Windows เวอร์ชันอื่นได้เช่นกัน

เปิดพรอมต์คำสั่งและป้อนคำสั่งดังต่อไปนี้

arp –a

ที่นี่

  • เมษายน เรียกโปรแกรมกำหนดค่า ARP ที่อยู่ใน Windows/System32 ไดเร็กทอรี
  • -a เป็นพารามิเตอร์เพื่อแสดงเนื้อหาของแคช ARP

คุณจะได้รับผลลัพธ์ที่คล้ายกับต่อไปนี้

กำหนดค่ารายการ ARP ใน Windows

หมายเหตุ: รายการแบบไดนามิก จะถูกเพิ่มและลบโดยอัตโนมัติเมื่อใช้งาน TCP / IP เซสชันกับคอมพิวเตอร์ระยะไกล

รายการแบบคงที่ ถูกเพิ่มด้วยตนเองและถูกลบเมื่อรีสตาร์ทคอมพิวเตอร์ และการ์ดอินเทอร์เฟซเครือข่ายรีสตาร์ทหรือกิจกรรมอื่น ๆ ที่ส่งผลกระทบต่อคอมพิวเตอร์

การเพิ่มรายการแบบคงที่

เปิดพรอมต์คำสั่ง จากนั้นใช้คำสั่ง ipconfig /all เพื่อรับที่อยู่ IP และ MAC

การเพิ่มรายการแบบคงที่

ที่อยู่ MAC แสดงโดยใช้ที่อยู่ทางกายภาพ และที่อยู่ IP คือ IPv4Address

ป้อนคำสั่งต่อไปนี้

arp –s  192.168.1.38 60-36-DD-A6-C5-43

การเพิ่มรายการแบบคงที่

หมายเหตุ: ที่อยู่ IP และ MAC จะแตกต่างจากที่อยู่ที่ใช้ที่นี่ นี่เป็นเพราะพวกเขามีเอกลักษณ์

ใช้คำสั่งต่อไปนี้เพื่อดูแคช ARP

arp –a

คุณจะได้รับผลลัพธ์ดังต่อไปนี้

การเพิ่มรายการแบบคงที่

โปรดทราบว่าที่อยู่ IP ได้รับการแก้ไขเป็นที่อยู่ MAC ที่เราให้ไว้และเป็นประเภทคงที่

การลบรายการแคช ARP

ใช้คำสั่งต่อไปนี้เพื่อลบรายการ

arp –d 192.168.1.38

การลบรายการแคช ARP

PS พิษของ ARP ทำงานโดยการส่งที่อยู่ MAC ปลอมไปที่สวิตช์

ที่อยู่ IP และ MAC คืออะไร

ที่อยู่ IP เป็นตัวย่อสำหรับที่อยู่โปรโตคอลอินเทอร์เน็ต ที่อยู่โปรโตคอลอินเทอร์เน็ตใช้เพื่อระบุคอมพิวเตอร์หรืออุปกรณ์ เช่น เครื่องพิมพ์ ดิสก์จัดเก็บข้อมูลบนเครือข่ายคอมพิวเตอร์อย่างเฉพาะเจาะจง ปัจจุบันมีที่อยู่ IP สองเวอร์ชัน IPv4 ใช้ตัวเลข 32 บิต เนื่องจากอินเทอร์เน็ตเติบโตอย่างรวดเร็ว จึงได้มีการพัฒนา IPv6 ขึ้น และใช้ตัวเลข 128 บิต

ที่อยู่ IPv4 ถูกจัดรูปแบบเป็นตัวเลขสี่กลุ่มที่คั่นด้วยจุด ตัวเลขต่ำสุดคือ 0 และตัวเลขสูงสุดคือ 255 ตัวอย่างของ IPv4 ที่อยู่มีลักษณะดังนี้

127.0.0.1

ที่อยู่ IPv6 ถูกจัดรูปแบบเป็นกลุ่มตัวเลข 4 ตัวที่คั่นด้วยเครื่องหมายโคลอน หมายเลขกลุ่มเขียนเป็นเลขฐานสิบหก 6 หลัก ตัวอย่างของที่อยู่ IPvXNUMX มีดังนี้

2001:0db8:85a3:0000:0000:8a2e:0370:7334

เพื่อให้การแสดงที่อยู่ IP ในรูปแบบข้อความง่ายขึ้น จึงละเว้นเลขศูนย์นำหน้า และละเว้นกลุ่มเลขศูนย์ทั้งหมด ที่อยู่ข้างต้นในรูปแบบที่เรียบง่ายจะแสดงเป็นดังนี้:

2001:db8:85a3:::8a2e:370:7334

ที่อยู่ MAC เป็นตัวย่อสำหรับที่อยู่ควบคุมการเข้าถึงสื่อ ที่อยู่ MAC ใช้เพื่อระบุอินเทอร์เฟซเครือข่ายโดยไม่ซ้ำกันสำหรับการสื่อสารที่ชั้นกายภาพของเครือข่าย โดยปกติแล้วที่อยู่ MAC จะถูกฝังอยู่ในการ์ดเครือข่าย

ที่อยู่ MAC เปรียบเสมือนหมายเลขซีเรียลของโทรศัพท์ ในขณะที่ที่อยู่ IP เปรียบเสมือนหมายเลขโทรศัพท์

การออกกำลังกาย

เราจะถือว่าคุณใช้ Windows สำหรับการฝึกนี้ เปิดพรอมต์คำสั่ง

ป้อนคำสั่ง

ipconfig /all

คุณจะได้รับข้อมูลโดยละเอียดเกี่ยวกับการเชื่อมต่อเครือข่ายทั้งหมดที่มีบนคอมพิวเตอร์ของคุณ ผลลัพธ์ที่แสดงด้านล่างนี้ใช้สำหรับโมเด็มบรอดแบนด์ที่แสดงที่อยู่ MAC และรูปแบบ IPv4 และเครือข่ายไร้สายเพื่อแสดงรูปแบบ IPv6

แบบฝึกหัดที่อยู่ IP และ MAC

แบบฝึกหัดที่อยู่ IP และ MAC

ที่คุณอาจชอบ: