مسمومیت / مضرات ARP: نحوه شناسایی و جلوگیری از آن

مسمومیت ARP_spoofingمسمومیت با پروتکل قطعنامه آدرس (ARP) حمله ای است که شامل ارسال پیام های ARP فریبنده از طریق شبکه محلی است. همچنین به عنوان شناخته شده است کلاهبرداری ARP ، مسیریابی مسموم ARP و مسمومیت با حافظه نهان ARP.

این حملات سعی در منحرف کردن ترافیک از میزبان در نظر گرفته شده در ابتدا به یک مهاجم دارند. مسمومیت با ARP این کار را با مرتبط کردن آدرس کنترل دسترسی رسانه (MAC) مهاجم با آدرس IP هدف انجام می دهد. این فقط در برابر شبکه هایی که از ARP استفاده می کنند کار می کند.

مسمومیت با ARP نوعی حمله به انسان در وسط است که می توان از آن استفاده کرد متوقف کردن ترافیک شبکه ، تغییر آن یا رهگیری آن. این تکنیک اغلب برای شروع اقدامات تهاجمی مانند ، استفاده می شود جلسه ربودن یا انکار سرویس.

پروتکل حل آدرس (ARP) چیست؟?

ARP پروتکل است که یک آدرس IP مشخص را با آدرس لایه پیوند دستگاه فیزیکی مربوطه مرتبط می کند. از آنجا که IPv4 هنوز رایج ترین پروتکل اینترنت است, ARP عموماً فاصله بین آدرس های IPv4 32 بیتی و آدرس های MAC 48 بیتی را ایجاد می کند. در هر دو جهت کار می کند.

رابطه بین آدرس MAC داده شده و آدرس IP آن در جدول معروف به حافظه نهان ARP نگهداری می شود. هنگامی که یک بسته به سمت میزبان در یک شبکه LAN به دروازه می رسد ، از دروازه از ARP استفاده می کند تا MAC یا آدرس میزبان فیزیکی را با آدرس IP مربوطه مرتبط کند..

میزبان سپس از طریق حافظه پنهان ARP آن را جستجو می کند. اگر آدرس مربوطه را پیدا کند ، از آدرس برای تبدیل فرمت و طول بسته استفاده می شود. اگر آدرس صحیح یافت نشد ، ARP بسته ای از درخواست را ارسال می کند که از آدرس دستگاه های دیگر در شبکه محلی سوال می کند اگر آدرس صحیح را می دانند. اگر یک دستگاه با آدرس پاسخ دهد ، در صورت درخواست های آینده از همان منبع ، حافظه پنهان ARP با آن به روز می شود..

مسمومیت ARP چیست؟?

اکنون که اطلاعات بیشتری در مورد پروتکل اساسی می دانید ، می توانیم مسمومیت های ARP را در عمق بیشتری پوشش دهیم. پروتکل ARP برای کارآیی تدوین شده است که منجر به جدی شدن آن شد عدم امنیت در طراحی آن این امر باعث می شود تا شخصی بتواند این حملات را سوار کند ، تا زمانی که بتواند به شبکه محلی هدف خود دسترسی پیدا کند.

مسمومیت با ARP شامل ارسال است جعبه پاسخ بسته های ARP به دروازه ای از طریق شبکه محلی است. مهاجمان معمولاً از ابزارهای احمقانه مانند آرپسوف یا آرپپیسون برای آسان کردن کار استفاده می کنند. آنها آدرس IP ابزار را برای مطابقت با آدرس مورد نظر خود تنظیم می کنند. سپس این ابزار LAN مقصد را برای آدرسهای IP و MAC میزبان خود اسکن می کند.

هنگامی که مهاجم آدرس میزبان ها را داشته باشد ، آنها شروع به ارسال بسته های ARP جعلی از طریق شبکه محلی برای میزبان ها می کنند.. پیام های کلاهبرداری به گیرندگان می گوید که آدرس MAC حمله کننده باید به آدرس IP دستگاه مورد نظر خود وصل شود.

این نتیجه باعث می شود که گیرندگان حافظه پنهان ARP خود را با آدرس مهاجم به روز کنند. هنگامی که گیرندگان در آینده با هدف ارتباط برقرار می کنند, پیامهای آنها در عوض به مهاجم ارسال می شود.

در این مرحله ، مهاجم مخفیانه در وسط ارتباطات قرار دارد و می تواند از این موقعیت برای خواندن ترافیک و سرقت اطلاعات استفاده کند. مهاجم همچنین می تواند پیام ها را قبل از رسیدن به هدف تغییر دهد یا حتی ارتباطات را به طور کامل متوقف کند.

مهاجمان می توانند از این اطلاعات برای حمل حملات بیشتر مانند انکار سرویس یا ربودن جلسه استفاده کنند:

  • خود داری از خدمات - این حملات می توانند تعدادی از آدرسهای IP جداگانه را به آدرس MAC یک هدف مرتبط کنند. اگر آدرس کافی برای درخواست ها به هدف ارسال شود ، می تواند در اثر ترافیک بیش از حد بارگیری شود ، که سرویس آن را مختل می کند و باعث غیر قابل استفاده می شود.
  • جلسه ربودن - کلاهبرداری ARP می تواند برای سرقت شناسه جلساتی که هکرها برای دستیابی به سیستم ها و حساب ها از آن استفاده می کنند ، استفاده شود. پس از دسترسی ، می توانند انواع ویرانی ها را علیه اهداف خود راه اندازی کنند.

چگونه مسمومیت ARP را تشخیص دهیم

مسمومیت با ARP از چند طریق مختلف قابل تشخیص است. می توانید از Command Prompt ویندوز ، آنالایزر بسته بندی منبع آزاد مانند Wireshark یا گزینه های اختصاصی مانند XArp استفاده کنید.

سریع فرمان

اگر گمان می کنید که از حمله مسمومیت با ARP رنج می برید ، می توانید در Command Prompt چک کنید. ابتدا ، به عنوان مدیر ، Command Prompt را باز کنید. ساده ترین راه این است که فشار دهید کلید Windows برای باز کردن منوی شروع. تایپ "سانتی متر"، سپس فشار دهید Crtl, تغییر مکان و وارد همزمان.

این امر باعث می شود Command Prompt ، اگرچه ممکن است مجبور به کلیک کنید آره برای دادن اجازه به برنامه برای ایجاد تغییرات. در خط فرمان وارد کنید:

آرپی -1

این جدول ARP را به شما می دهد:

مسمومیت با arp-1

* آدرس های موجود در تصویر بالا به دلایل حریم خصوصی تا حدی سیاه شده اند.*

جدول آدرس های IP را در ستون سمت چپ نشان می دهد ، و آدرس های MAC را در وسط قرار می دهد. اگر جدول شامل دو آدرس IP مختلف باشد که دارای همان آدرس MAC هستند ، احتمالاً شما در حال حمله به مسمومیت ARP هستید.

به عنوان نمونه ، بیایید بگوییم که جدول ARP شما دارای تعدادی آدرس مختلف است. هنگامی که از طریق آن اسکن می کنید ، ممکن است متوجه شوید که دو آدرس IP دارای آدرس فیزیکی یکسان هستند. اگر واقعاً مسموم شده باشید ، ممکن است چنین چیزی را در جدول ARP خود مشاهده کنید:

آدرس فیزیکی آدرس اینترنتی

192.168.0.1 00-17-31-dc-39-ab

192.168.0.105 40-d4-48-cr-29-b2

192.168.0.106 00-17-31-dc-39-ab

همانطور که مشاهده می کنید ، آدرس های MAC اول و سوم مطابقت دارند. این نشان می دهد که صاحب آدرس IP 192.168.0.106 به احتمال زیاد مهاجم است.

گزینه های دیگر

با تجزیه و تحلیل بسته ها می توان از Wireshark برای تشخیص مسمومیت با ARP استفاده کرد ، اگرچه مراحل خارج از محدوده این آموزش است و احتمالاً به بهترین نحو برای کسانی که تجربه برنامه را دارند ، باقی مانده است..

آشکارسازهای مسمومیت تجاری ARP مانند XArp روند کار را آسان تر می کنند. آنها می توانند هنگام شروع مسمومیت با ARP به شما هشدار دهند ، به این معنی که حملات زودتر شناسایی شده و آسیب ها به حداقل می رسد.

نحوه جلوگیری از مسمومیت با ARP

برای جلوگیری از مسمومیت با ARP می توانید از چندین روش استفاده کنید که هر کدام دارای مثبت و منفی هستند. این موارد شامل ورودی های ARP استاتیک ، رمزگذاری ، VPN و خرخر کردن بسته است.

ورودی های ARP استاتیک

این راه حل سربار اداری زیادی را شامل می شود و فقط برای شبکه های کوچکتر توصیه می شود. این شامل اضافه کردن یک ورودی ARP برای هر دستگاه در یک شبکه به هر کامپیوتر جداگانه است.

نقشه برداری دستگاه ها با مجموعه ای از آدرس های IP و MAC استاتیک به جلوگیری از حملات احتکار کمک می کند ، زیرا ماشین ها می توانند پاسخ های ARP را نادیده بگیرند. متأسفانه, این راه حل فقط می تواند شما را از حملات ساده تر محافظت کند.

رمزگذاری

پروتکل هایی مانند HTTPS و SSH همچنین می تواند به کاهش احتمال حمله مسموم کننده با ARP کمک کند. وقتی رمزگذاری رمزگذاری می شود ، مهاجم می بایست برای قبول گواهی نامشروع به مرحله اضافی فریب مرورگر هدف برسد. با این حال, هرگونه داده منتقل شده در خارج از این پروتکل ها هنوز آسیب پذیر خواهد بود.

VPN

یک VPN می تواند یک دفاع معقول برای افراد باشد ، اما آنها معمولاً برای سازمان های بزرگتر مناسب نیستند. اگر فقط یک نفر باشد که ارتباط بالقوه خطرناکی مانند استفاده از وای فای عمومی در فرودگاه برقرار می کند ، پس از آن VPN تمام داده هایی را که بین مشتری و سرور خروجی سفر می کند رمزگذاری می کند. این کمک می کند تا آنها را ایمن نگه دارید ، زیرا یک مهاجم فقط قادر به دیدن متن رمزنگاری شده است.

این یک راه حل کمتر عملی در سطح سازمانی است ، زیرا لازم است اتصالات VPN بین هر رایانه و هر سرور برقرار باشد. این نه تنها برای تنظیم و نگهداری پیچیده است ، بلکه رمزگذاری و رمزگشایی در این مقیاس همچنین مانع عملکرد شبکه خواهد شد.

فیلترهای بسته

این فیلترها بسته های ارسال شده به شبکه را تجزیه و تحلیل می کنند. آنها می توانند بسته های مخرب را فیلتر کرده و مسدود کنید, و همچنین کسانی که آدرس IP آنها مشکوک است. فیلترهای بسته همچنین می توانند بگویند آیا بسته ای که در واقع منشاء خارج از کشور است ، مدعی است که از یک شبکه داخلی وارد می شود ، به کاهش شانس موفقیت حمله کمک می کند..

محافظت از شبکه خود را از مسمومیت های ARP

اگر می خواهید شبکه شما از خطر مسمومیت ARP مصون باشد ، بهترین برنامه ترکیبی از ابزارهای پیشگیری و تشخیص فوق است.. روش های پیشگیری تمایل به عیب و نقص در برخی شرایط دارد, بنابراین حتی امن ترین محیط ممکن است خود را مورد حمله قرار دهد.

اگر ابزارهای شناسایی فعال نیز وجود داشته باشند ، پس از شروع کار ، در مورد مسمومیت با ARP مطلع خواهید شد. تا زمانی که سرپرست شبکه شما سریعاً یکبار هشدار داده شود ، می توانید به طور کلی عمل کنید این حملات را قبل از آسیب زیاد خاموش کنید.

طراحی تصویر بر اساس ARP Spoofing 0x55534C تحت CC3.0

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

47 + = 50

Adblock
detector