Hvad er ARP Spoofing?Teknikken ARP Spoofing Det består grundlæggende i at udnytte et design sårbarhed i ARP -protokollen og implementering af ARP cache i værterne.
På netværkslaget (ISO / OSI) er kilde- og destinationssystemerne veldefineret af deres IP -adresser, men på Link -lagniveau er det nødvendigt at bestemme MAC -adresserne for hver vært.
ARP (RFC 826) er en adresseoversættelsesprotokol mellem to forskellige adresseringsskemaer, som det er tilfældet mellem IP -protokollen og MAC -protokollen. Grundlæggende er dens funktion i et Ethernet -netværk at bestemme MAC -adressen på en station givet dens IP -adresse. Oversættelsen udføres gennem en udveksling af forespørgselsmeddelelser og ARP -svar.
Den grundlæggende mekanisme fungerer ved at sende en 28-byte besked til udsendelsesadressen, og kun den korrekte vært reagerer direkte på afsenderen af forespørgslen.
For at ARP -forespørgslen kan nå alle enheder, er destinations -MAC -adressen FF: FF: FF: FF: FF: FF (A.K.A. Broadcast MAC -adresse) angivet. Når en switch modtager en ramme bestemt til FF: FF: FF: FF: FF: FF, fortsætter den med at videresende rammen gennem alle andre porte (hensigten er, at alle værter "lytter" til spørgsmålet).
FORSTØRRE
Det opnåede svar bruges til at bestemme destinations -MAC -adressen, og dermed kan transmissionen begynde.
FORSTØRRE
Det opnåede IP-MAC-forhold vil blive midlertidigt gemt i en tabel med ARP-poster (ARP-cache) på en sådan måde, at hvis Bob forsøger at sende data til Alice igen i fremtiden, er alt, hvad han skal gøre, at konsultere ARP-cachetabellen for at bestemme Alice's MAC. ingen grund til at "spørge igen".
Afhængigt af operativsystemets implementering opdateres disse ARP -cache -poster muligvis baseret på deres sidste brug, sidste gang MAC -adressen blev "observeret" osv. De kan også indstilles statisk ved manuel konfiguration.
I alle tilfælde validerer ARP -protokollen ikke de data, der er opnået i ARP -svaret, det vil sige, hvis Bob modtager et ARP -svar, der angiver, at en bestemt MAC er bundet til Alice's IP, accepterer Bob oplysningerne "uden tøven". Det er tilladt at sende ARP -svar uden et forudgående spørgsmål og kaldes "gratis ARP" -meddelelser. Disse meddelelser vil blive brugt af de systemer, der modtager dem, til at opdatere oplysningerne i ARP -cachetabellen.
En angriber kan bevidst sende ARP -svar uden et forudgående spørgsmål ("gratis arp") med angivelse af, at hans egen MAC svarer til Alice's IP, og Bob vil acceptere disse svar som "information i sidste øjeblik" og fortsætte med at opdatere posten i ARP cache -tabel til Alice's IP med angriberens MAC.
ARP Spoofing-teknikken består i at sende forkerte oplysninger om MAC-IP-oversættelsen; Når Bob bruger disse falske oplysninger til at opdatere sin ARP -cache, opstår der en ARP -forgif.webptningssituation (ARP -forgif.webptning).
Denne situation vil medføre, at de rammer, Bob sender til Alice's IP, leveres af kontakten til angriberens port (husk, at kontakten ser på MAC'er).
Nu, hvis angriberen anvender den samme teknik til Alice og overbeviser Alice om, at Angriberens MAC -adresse svarer til Bobs IP -adresse, så har angriberen overbevist Bob om, at han er Alice og Alice, at han er Bob, der opnår en mellemmandssituation (Mand i Mellem).
Det vil være angriberens ansvar at videresende rammerne til hvert system for at holde trafikken aktiv og undgå kommunikationsproblemer i det øverste lag. Derudover kan angriberen inspicere trafikken, indhente følsomme data, manipulere oplysninger osv.
Systemer involveret
Anvendelsessystemer til testBob AA: BB: CC: 11: 22: 33 (192.168.0.1/24)
Alice AA: BB: CC: 22: 33: 44 (192.168.0.2/24)
Angriber AA: BB: CC: 88: 88: 88 (192.168.0.3/24)
Til det angribende system vil det blive brugt GNU / Linux Ubuntu og for ofrene vil jeg bruge Windows XP SP3, men offerets operativsystem er ikke ligegyldigt. For det første skal et værktøj, der gør det muligt at sende ARP Spoofing -meddelelser til ofre, bruges til at teste ARP -forgif.webptning. Til denne vejledning vil jeg bruge "dsniff", som dybest set er et værktøjskasse til sniffning af adgangskoder.
Blandt de værktøjer, der er inkluderet i dsniff pakke, det er fundet "arpspoof”, Som stort set udfører ARP Spoofing på det udpegede offer.
Til installer dsniff indtast en terminal:
$ sudo apt-get install dsniffMed det installerer du det.
Analyse før angreb
I det første øjeblik har Bob en post i sin ARP -cache, der angiver, at Alices IP -adresse svarer til MAC AA: BB: CC: 22: 33: 44.
For at se ARP -cachetabellen skal du gå til:
- Start
- Løb
- cmd
I Windows -terminalen skriver du:
Stort teltDu får det aktuelle indhold i Bobs ARP -cachetabel:
Tilsvarende på Alice's PC:
Angreb
I første omgang er videresendende bit i Attacker -systemet:
# echo 1> / proc / sys / net / ipv4 / ip_forwardPå denne måde undgås pakketab, Bob og Alice vil være i stand til at interagere, som om intet skete.
Det arpspoof kommando bruges som følger:
# arpspoof -i INTERFAZ_LAN -t IP_VICTIMA_POISONING IP_VICTIMA_SPOOFEDHvor fra:
INTERFAZ_LANNetværkskort, som vi vil bruge til angrebet, vil MAC -adressen på denne grænseflade blive taget for ARP Spoofing -meddelelser.
IP_VICTIMA_POISONINGDet er offerets IP -adresse, hvis ARP -cache -tabel forgif.webptes.
IP_VICTIMA_SPOOFEDDet er IP -adressen, der angiver posten i offerets ARP -cache -tabel, som angriberens MAC vil blive knyttet til.
For at overbevise Alice om, at Bob har MAC AA: BB: CC: 88: 88: 88, kører arpspoof i Attacker -systemterminalen som følger:
# arpspoof -i eth0 -t 192.168.0.2 192.168.0.1ARP -svarmeddelelser vil blive sendt til Alice med manipulerede oplysninger:
Start EN anden terminal (den forrige må ikke afbrydes) og udfør angrebet i den modsatte retning for at overbevise Bob om, at Alice har MAC AA: BB: CC: 88: 88: 88, i Attacker -systemterminalen udfør arpspoof som følger :
# arpspoof -i eth0 -t 192.168.0.1 192.168.0.2ARP -svarmeddelelser sendes til Bob med manipulerede oplysninger:
Fra dette tidspunkt opretholder angriberen status som en mellemmand (MitM) ved at sende manipulerede ARP -meddelelser:
FORSTØRRE
Ved at gentage de første trin er det muligt at kontrollere, hvordan Bobs og Alices ARP -cache -poster er blevet opdateret med Angriberens MAC:
Bobs ARP -cache:
Alice's ARP -cache:
Rammerne, som Bob sender til Alice, leveres til angriberen, og angriberen sender dem videre til Alice. På samme måde bliver rammerne sendt af Alice leveret til angriberen, og han videresender dem til Bob.
FORSTØRRE
Angriberen kunne fange trafik med sit netværkskort i promiskuøs tilstand og få f.eks. Adgangsoplysninger til en webportal, der ikke bruger SSL.
For eksempel har en angriber i følgende trafikoptagelse opnået adgangsoplysninger til en PHPMyAdmin -portal: (Bruger "root", adgangskode "ad00")
FORSTØRRE
Endelig, for at lukke angrebet uden at afbryde kommunikationen, stopper angriberen "arpspoof" terminalen ved at trykke på taster:
Ctrl + C
Og værktøjet sender automatisk ARP -forespørgsler til hvert offer, så ARP -cacheoplysningerne opdateres med de korrekte data.
På dette tidspunkt frigiver angriberen kommunikation og kan afbryde forbindelsen til netværket for at analysere den allerede opnåede trafik.
Nogle antivirussystemer overvåger ændringer af poster i ARP -cachetabellen, selv for GNU / Linux er der et værktøj kaldet "ARPWatch”Det advarer om en ændring i ARP-IP-forholdet i systemets ARP-cachetabeller.
I en anden artikel, mulige teknikker til at forhindre MitM -angreb baseret på ARP Spoofing og ARP Poisoning.
Kan du lide og hjælpe denne vejledning?Du kan belønne forfatteren ved at trykke på denne knap for at give ham et positivt punkt
