Rīki, ko izmantot ARP viltošanas uzbrukumā
Ir pieejami daudzi rīki, piemēram, Arpspoof, Cain & Abel, Arpoison un Ettercap, kas ir pieejami, lai sāktu ARP viltošanu.
Šeit ir ekrānuzņēmums, lai parādītu, kā minētie rīki var strīdīgi nosūtīt ARP pieprasījumu:
ARP viltošanas uzbrukums sīkāk
Apskatīsim dažus ekrānuzņēmumus un soli pa solim sapratīsim ARP viltošanu:
1. darbība :
Uzbrucējs vēlas saņemt ARP atbildi, lai tas varētu uzzināt upura MAC adresi. Tagad, ja mēs ejam tālāk dotajā ekrānuzņēmumā, mēs varam redzēt, ka ir 2 ARP atbildes no 192.168.56.100 un 192.168.56.101 IP adresēm. Pēc tam upuris [192.168.56.100 un 192.168.56.101] atjaunina savu ARP kešatmiņu, bet neatbildēja. Tātad ieraksts ARP kešatmiņā nekad netiek labots.
ARP pieprasījuma pakešu numuri ir 137 un 138. ARP atbildes pakešu numuri ir 140 un 143.
Tādējādi uzbrucējs atrod ievainojamību, veicot ARP viltošanu. To sauc par 'uzbrukuma iekļūšanu'.
2. darbība:
Pakešu numuri ir 141, 142 un 144, 146.
No iepriekšējās darbības uzbrucējam tagad ir derīgas MAC adreses 192.168.56.100 un 192.168.56.101. Nākamais uzbrucēja solis ir nosūtīt ICMP paketi uz upura IP adresi. Un no dotā ekrānuzņēmuma redzams, ka uzbrucējs nosūtīja ICMP paketi un saņēma ICMP atbildi no 192.168.56.100 un 192.168.56.101. Tas nozīmē, ka abas IP adreses [192.168.56.100 un 192.168.56.101] ir sasniedzamas.
3. darbība:
Mēs redzam, ka ir pēdējais ARP pieprasījums pēc 192.168.56.101 IP adreses, lai apstiprinātu, ka resursdators ir aktīvs un tam ir tāda pati MAC adrese 08:00:27:dd:84:45.
Dotais paketes numurs ir 3358.
4. darbība:
Ir vēl viens ICMP pieprasījums un atbilde ar 192.168.56.101 IP adresi. Pakešu numuri ir 3367 un 3368.
No šejienes mēs varam domāt, ka uzbrucējs ir vērsts pret upuri, kura IP adrese ir 192.168.56.101.
Tagad visa informācija, kas nāk no IP adreses 192.168.56.100 vai 192.168.56.101 līdz IP 192.168.56.1, sasniedz MAC adreses uzbrucēju, kura IP adrese ir 192.168.56.1.
5. darbība:
Kad uzbrucējam ir piekļuve, tas mēģina izveidot faktisku savienojumu. Dotajā ekrānuzņēmumā redzams, ka uzbrucējs mēģina izveidot HTTP savienojumu. HTTP iekšpusē ir TCP savienojums, kas nozīmē, ka ir jābūt trīsvirzienu rokasspiedienam. Šīs ir TCP pakešu apmaiņas:
SYN -> SYN+ACK -> ACK.
No dotā ekrānuzņēmuma mēs varam redzēt, ka uzbrucējs atkārtoti mēģina SYN paketi vairākas reizes dažādos portos. Rāmja numurs no 3460 līdz 3469. Pakešu numurs 3469 SYN ir paredzēts 80. portam, kas ir HTTP.
6. darbība:
Pirmais veiksmīgais TCP rokasspiediens tiek parādīts ar šādiem pakešu numuriem dotajā ekrānuzņēmumā:
4488: SYN rāmis no uzbrucēja
4489: SYN+ACK rāmis no 192.168.56.101
4490: ACK rāmis no uzbrucēja
7. darbība:
Kad TCP savienojums ir veiksmīgs, uzbrucējs var izveidot HTTP savienojumu [kadra numurs 4491 līdz 4495], kam seko SSH savienojums [kadra numurs 4500 līdz 4503].
Tagad uzbrukumam ir pietiekami daudz kontroles, lai tas varētu veikt šādas darbības:
- Sesijas nolaupīšanas uzbrukums
- Uzbrūk vīrietis vidū [MITM]
- Pakalpojuma atteikuma (DoS) uzbrukums
Kā novērst ARP viltošanas uzbrukumu
Šeit ir daži aizsardzības līdzekļi, ko var izmantot, lai novērstu ARP viltošanas uzbrukumu:
- “Static ARP” ierakstu izmantošana
- ARP viltojumu noteikšanas un novēršanas programmatūra
- Pakešu filtrēšana
- VPN utt.
Turklāt mēs varētu novērst tā atkārtošanos, ja HTTP vietā izmantotu HTTPS un izmantotu SSL (Secure Socket Layer) transporta slāņa drošību. Tas ir tāpēc, lai visi sakari būtu šifrēti.
Secinājums
No šī raksta mēs guvām pamatideju par ARP viltošanas uzbrukumu un to, kā tas var piekļūt jebkuram sistēmas resursam. Turklāt mēs tagad zinām, kā apturēt šāda veida uzbrukumu. Šī informācija palīdz tīkla administratoram vai jebkuram sistēmas lietotājam aizsargāties pret ARP viltošanas uzbrukumu.