Тровање / превара АРП-ом: Како га открити и спречити

АРП тровање_споофингТровање адресним протоколом адреса (АРП) је напад који укључује слање лажних АРП порука преко локалне мреже. Такође је познато као АРП споофинг, АРП усмјеравање отрова и АРП цацхе тровање.

Ови напади уместо тога покушавају да преусмере саобраћај са првобитно намераног домаћина на нападача. Тровање АРП-ом то чини повезивањем нападачеве контроле приступа медијума (МАЦ) са ИП адресом циља. Ради само против мрежа које користе АРП.

Тровање АРП-ом је врста напада човека у средини за који се може користити зауставити мрежни саобраћај, променити га или пресрести. Техника се често користи да покрене додатне офанзиве, попут отмица сесије или одбијање услуге.

Шта је протокол за решавање адреса (АРП)?

АРП је протокол који повезује одређену ИП адресу са адресом слоја везе одговарајуће физичке машине. Будући да је ИПв4 и даље најчешће кориштен интернет протокол, АРП генерално премошћује јаз између 32-битних ИПв4 адреса и 48-битних МАЦ адреса. Делује у оба смера.

Однос између дате МАЦ адресе и њене ИП адресе чува се у табели познатој као АРП кеш меморија. Када пакет упућен према домаћину на ЛАН-у стигне до гатеваи-а, гатеваи користи АРП да би повезао МАЦ или физичку адресу хоста са његовом корелирајућом ИП адресом.

Тада домаћин претражује кроз своју АРП кеш меморију. Ако пронађе одговарајућу адресу, адреса се користи за претварање формата и дужине пакета. Ако права адреса није пронађена, АРП ће послати пакет захтева који пита остале машине у локалној мрежи ако знају тачну адресу. Ако машина одговори са адресом, АРП кеш се ажурира са њом у случају да буде будућих захтева из истог извора.

Шта је тровање АРП-ом?

Сада када разумете више о основном протоколу, можемо дубље да покријемо тровање АРП-ом. АРП протокол је развијен тако да буде ефикасан, што је довело до озбиљног недостатак сигурности у свом дизајну. То олакшава неко да монтира ове нападе, све док може да приступи локалној мрежи своје мете.

Тровање АРП-ом укључује слање фалсификовани АРП пакети одговора на гатеваи преко локалне мреже. Нападачи обично користе алате за варање попут Арпспооф или Арппоисон како би олакшали посао. Они постављају ИП адресу алата да одговара адреси њиховог циља. Алат затим скенира циљни ЛАН за ИП и МАЦ адресе својих домаћина.

Једном када нападач добије адресе домаћина, они почињу слати фалсификоване АРП пакете преко локалне мреже домаћинима. Лажне поруке говоре примаоцима да би МАЦ адреса нападача требало да буде повезана са ИП адресом машине на коју циљају.

То резултира тако да примаоци ажурирају свој АРП кеш са нападачевом адресом. Када примаоци убудуће комуницирају са метом, њихове поруке ће уместо тога бити послате нападачу.

У овом тренутку, нападач је тајно усред комуникације и може искористити ову позицију за читање саобраћаја и крађу података. Нападач такође може изменити поруке пре него што стигну до циља или чак у потпуности зауставити комуникацију.

Нападачи могу да користе ове информације за монтирање даљих напада, попут ускраћивања услуге или отмице сесија:

  • Онемогућавање услуга - Ови напади могу повезати бројне засебне ИП адресе са МАЦ адресом циља. Ако довољно адреса шаље захтеве циљу, он може постати преоптерећен саобраћајем, што нарушава његову услугу и чини га неупотребљивим.
  • Отмица сесија - Преваравање АРП-а може се користити за крађу ИД-ова сесија, које хакери користе за улазак у системе и налоге. Једном када имају приступ, могу да покрену све врсте пустошења против својих циљева.

Како открити тровање АРП-ом

Тровање АРП-ом може се открити на више различитих начина. Можете да користите Виндовс Цомманд Промпт, анализатор пакета отвореног кода, као што је Виресхарк, или власничке опције као што је КСАрп.

Командна линија

Ако сумњате да можда патите од напада тровања АРП-ом, можете проверити у наредбеном ретку. Прво отворите командни редак као администратор. Најлакши начин је да притиснете Виндовс тастер да отворите стартни мени. Укуцај "цмд“, Затим притисните Цртл, Смена и Унесите истовремено.

Ово ће приказати наредбену линију, мада ћете можда морати да кликнете да да бисте апликацији дали дозволу за измене. У командну линију унесите:

арп -1

Ово ће вам дати АРП табелу:

тровање арп-1

* Адреса на горњој слици делимично је затамњена из разлога приватности.*

Табела приказује ИП адресе у левом колону и МАЦ адресе у средини. Ако табела садржи две различите ИП адресе које деле исту МАЦ адресу, вероватно сте подвргнути нападу тровања АРП-ом.

Као пример, рецимо да ваша АРП табела садржи више различитих адреса. Када скенирате кроз њега, можда ћете приметити да две ИП адресе имају исту физичку адресу. Нешто овако можете видети у вашој АРП табели ако се заправо отровате:

Физичка адреса Интернет адресе

192.168.0.1 00-17-31-дц-39-аб

192.168.0.105 40-д4-48-цр-29-б2

192.168.0.106 00-17-31-дц-39-аб

Као што видите, и прва и трећа МАЦ адресе се подударају. Ово указује да је власник ИП адресе 192.168.0.106 највероватније нападач.

Друге опције

Виресхарк се може користити за откривање тровања АРП-ом анализом пакета, мада су кораци ван оквира овог упутства и вероватно је најбоље препустити онима који имају искуства са програмом.

Комерцијални детектори отровања АРП-ом, као што је КСАрп, олакшавају процес. Могу вам дати упозорење када започне тровање АРП-ом, што значи да се напади открију раније и штета може да се сведе на минимум.

Како спречити тровање АРП-ом

Можете користити неколико метода да спречите тровање АРП-ом, а свака има своје позитивне и негативне последице. Они укључују статичке АРП уносе, шифровање, ВПН-ове и њушкање пакета.

Статички АРП уноси

Ово решење укључује много административних трошкова и препоручује се само за мање мреже. То укључује додавање АРП уноса за сваку машину на мрежи у сваки појединачни рачунар.

Мапирање машина са скуповима статичких ИП и МАЦ адреса помаже у спречавању напада споофинга, јер машине могу игнорисати АРП одговоре. нажалост, ово решење може да вас заштити само од једноставнијих напада.

Шифровање

Протоколи попут ХТТПС и ССХ такође могу помоћи у смањењу шанси за успешан напад тровања АРП-ом. Када се саобраћај шифрује, нападач би морао да пређе на додатни корак да завези прегледач циља да прихвати нелегитиман сертификат. Међутим, било који подаци који се преносе изван ових протокола и даље ће бити рањиви.

ВПН-ови

ВПН може бити разумна одбрана за појединце, али углавном нису погодни за веће организације. Ако је само једна особа успоставила потенцијално опасну везу, као што је коришћење јавног вифи-а на аеродрому, а ВПН ће шифрирати све податке који путују између клијента и излазног сервера. Ово помаже да се сачувају, јер ће нападач моћи да види само шифрирани текст.

То је мање изводљиво решење на организационом нивоу, јер би требало да постоје ВПН везе између сваког рачунара и сваког сервера. Не само да би ово било сложено за постављање и одржавање, већ би шифровање и дешифровање у тој скали такође ометало рад мреже.

Пакетни филтри

Ови филтри анализирају сваки пакет који се шаље путем мреже. Могу филтрирају и блокирају злонамјерне пакете, као и оне чија је ИП адреса сумњива. Пакетни филтри такође могу рећи да ли пакет тврди да долази из интерне мреже када заправо потиче споља, помажући да се смање шансе да напад буде успешан.

Заштита ваше мреже од тровања АРП-ом

Ако желите да ваша мрежа буде сигурна од претње тровањем АРП-ом, најбољи план је комбинација горе наведених алата за спречавање и откривање.. Методе превенције имају одређене недостатке у одређеним ситуацијама, па се чак и најсигурније окружење може наћи под нападом.

Ако постоје и активни алати за откривање, о тровању АРП-ом знаћете чим почне. Све док ваш мрежни администратор брзо делује након што је упозорен, генерално можете затворите ове нападе пре него што се нанесе већа штета.

Дизајн слика заснован на АРП Споофингу од 0к55534Ц испод ЦЦ3.0

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

96 − 86 =

Adblock
detector