Trovanje / podmetanje ARP-om: kako ga otkriti i spriječiti

ARP trovanje_spoofingTrovanje adresnim protokolom adrese (ARP) napad je koji uključuje slanje lažnih ARP poruka preko lokalne mreže. To je također poznato kao ARP spoofing, ARP usmjeravanje otrova i ARP cache trovanje.


Ovi napadi umjesto toga pokušavaju preusmjeriti promet s izvorno namjeravanog domaćina na napadača. Trovanje ARP-om to čini povezivanjem napadačeve kontrole pristupa medija (MAC) s IP adresom cilja. Radi samo protiv mreža koje koriste ARP.

Trovanje ARP-om je vrsta napada čovjeka-u-sredini na koji se može koristiti zaustaviti mrežni promet, promijeniti ga ili presresti. Tehnika se često koristi za pokretanje dodatnih napada, kao što su otmica sesije ili odbijanje usluge.

Što je protokol za rješavanje adresa (ARP)?

ARP je protokol koji povezuje određenu IP adresu s adresom sloja veze odgovarajućeg fizičkog stroja. Budući da je IPv4 i dalje najčešće korišteni internetski protokol, ARP obično premošćuje jaz između 32-bitnih IPv4 adresa i 48-bitnih MAC adresa. Djeluje u oba smjera.

Odnos između određene MAC adrese i njene IP adrese čuva se u tablici poznatoj kao ARP predmemorija. Kada paket usmjeren prema domaćinu na LAN-u stigne do gateway-a, gateway koristi ARP za pridruživanje MAC ili fizičke adrese glavnog računala s njegovom korelirajućom IP adresom.

Tada domaćin traži kroz svoju ARP predmemoriju. Ako pronađe odgovarajuću adresu, adresa se koristi za pretvaranje formata i duljine paketa. Ako prava adresa nije pronađena, ARP će poslati paket zahtjeva koji pita ostale uređaje u lokalnoj mreži ako znaju ispravnu adresu. Ako stroj odgovara adresom, ARP predmemorija se ažurira s njom u slučaju da postoje budući zahtjevi iz istog izvora.

Što je trovanje ARP-om?

Sada kada razumijete više o temeljnom protokolu, možemo dublje pokriti trovanje ARP-om. ARP protokol razvijen je tako da bude učinkovit, što je dovelo do ozbiljnog nedostatak sigurnosti u svom dizajnu. To relativno lako omogućuje montiranje napada, sve dok može pristupiti lokalnoj mreži svoje mete.

Trovanje ARP-om uključuje slanje krivotvoreni ARP paketi odgovora na gateway preko lokalne mreže. Napadači obično koriste alate za varanje poput Arpspoof ili Arppoison kako bi olakšali posao. Oni postavljaju IP adresu alata koja odgovara adresi njihovog cilja. Alat zatim skenira ciljni LAN za IP i MAC adrese svojih računala.

Jednom kada napadač dobije adrese domaćina, oni počinju slati krivotvorene ARP pakete preko lokalne mreže domaćinima. Lažne poruke govore primateljima da bi MAC adresa napadača trebala biti povezana s IP adresom uređaja na koji ciljaju..

To rezultira time da primatelji ažuriraju ARP predmemoriju s adresom napadača. Kad primatelji ubuduće komuniciraju s metom, njihove će se poruke umjesto toga zapravo uputiti napadaču.

U ovom trenutku napadač je tajno usred komunikacije i može iskoristiti taj položaj za čitanje prometa i krađu podataka. Napadač također može mijenjati poruke prije nego što dođu do cilja ili čak u potpunosti zaustaviti komunikaciju.

Napadači mogu upotrijebiti ove informacije za postavljanje daljnjih napada, poput odbijanja usluge ili otmice sesija:

  • Uskraćivanje usluge - Ovi napadi mogu povezati više zasebnih IP adresa s MAC adresom cilja. Ako dovoljno adresa šalje zahtjeve cilju, može postati pretrpan prometom, što narušava njegovu uslugu i čini ga neupotrebljivim.
  • Otmica za sjednice - ARP krivotvorenje može se koristiti za krađu ID-ova sesije, koje hakeri koriste za ulazak u sustave i račune. Jednom kada dobiju pristup, mogu pokrenuti sve vrste pustoši protiv svojih ciljeva.

Kako otkriti trovanje ARP-om

Trovanje ARP-om može se otkriti na nekoliko različitih načina. Možete koristiti Windows naredbeni redak, analizator paketa otvorenog koda, kao što je Wireshark, ili vlasničke opcije, poput XArp.

Komandni redak

Ako sumnjate da možda patite od napada trovanja ARP-om, možete provjeriti u naredbenom retku. Prvo otvorite naredbeni redak kao administrator. Najlakši način je pritisnuti tipku Windows ključ za otvaranje početnog izbornika. Unesite "cmd", Zatim pritisnite Crtl, smjena i Unesi u isto vrijeme.

To će prikazati naredbeni redak, iako ćete možda morati kliknuti Da da biste aplikaciji dali dopuštenje za unošenje promjena. U naredbeni redak upišite:

arp -1

Ovo će vam dati ARP tablicu:

ARP-trovanje-1

* Adresi na gornjoj slici djelomično su zatamnjeni iz razloga privatnosti.*

Tablica prikazuje IP adrese u lijevom stupcu i MAC adrese u sredini. Ako tablica sadrži dvije različite IP adrese koje dijele istu MAC adresu, vjerojatno ste podvrgnuti napadu otrovanja ARP-om.

Kao primjer, recimo da vaša ARP tablica sadrži više različitih adresa. Kad ga skenirate, primijetit ćete da dvije IP adrese imaju istu fizičku adresu. Nešto ovako možete vidjeti u svojoj ARP tablici ako se zapravo otrovate:

Fizička adresa internetske adrese

192.168.0.1 00-17-31-dc-39-ab

192.168.0.105 40-d4-48-cr-29-b2

192.168.0.106 00-17-31-dc-39-ab

Kao što vidite, i prva i treća MAC adrese odgovaraju. Ovo ukazuje da je vlasnik IP adrese 192.168.0.106 najvjerojatnije napadač.

Druge opcije

Wireshark se može koristiti za otkrivanje trovanja ARP-om analizom paketa, iako su koraci izvan okvira ovog vodiča i vjerojatno je najbolje prepustiti onima koji imaju iskustva s programom.

Komercijalni detektori otrovanja ARP-om, kao što je XArp, olakšavaju postupak. Oni vam mogu dati upozorenje kada započne trovanje ARP-om, što znači da se napadi otkriju ranije i šteta se može umanjiti.

Kako spriječiti trovanje ARP-om

Možete koristiti nekoliko metoda za sprječavanje trovanja ARP-om, a svaka ima svoje pozitivne i negativne učinke. Oni uključuju statičke ARP unose, šifriranje, VPN-ove i njuškanje paketa.

Statički ARP unosi

Ovo rješenje uključuje mnogo administrativnih troškova, a preporučuje se samo za manje mreže. To uključuje dodavanje ARP unosa za svaki stroj na mreži u svako pojedino računalo.

Mapiranje strojeva s skupovima statičke IP i MAC adrese pomaže u sprječavanju napada spoofinga jer strojevi mogu ignorirati ARP odgovore. Nažalost, ovo rješenje može vas zaštititi samo od jednostavnijih napada.

Šifriranje

Protokoli poput HTTPS i SSH mogu također pomoći smanjiti šanse za uspješan napad trovanja ARP-om. Kad se promet šifrira, napadač će morati ići na dodatni korak zavaravanja preglednika cilja da prihvati nelegitimnu potvrdu. Međutim, bilo koji podaci poslani izvan ovih protokola i dalje će biti ranjivi.

VPN

VPN može biti razumna obrana za pojedince, ali oni uglavnom nisu prikladni za veće organizacije. Ako je samo jedna osoba uspostavila potencijalno opasnu vezu, kao što je korištenje javnog wifija u zračnoj luci, a VPN će kriptirati sve podatke koji putuju između klijenta i izlaznog poslužitelja. To pomaže u njihovoj sigurnosti jer će napadač moći vidjeti samo šifrirani tekst.

To je manje izvodljivo rješenje na organizacijskoj razini jer bi trebale postojati VPN veze između svakog računala i svakog poslužitelja. Ne samo da bi ovo bilo složeno za postavljanje i održavanje, nego bi šifriranje i dešifriranje na toj skali također ometalo rad mreže.

Paketni filtri

Ovi filtri analiziraju svaki paket koji se šalje putem mreže. Oni mogu filtriraju i blokiraju zlonamjerne pakete, kao i one čija je IP adresa sumnjiva. Filtri za pakete također mogu otkriti ako paket tvrdi da dolazi iz interne mreže kad zapravo potiče izvana, što smanjuje šansu da napad bude uspješan.

Zaštita vaše mreže od trovanja ARP-om

Ako želite da vaša mreža bude sigurna od prijetnje trovanjem ARP-om, najbolji plan je kombinacija gore navedenih alata za prevenciju i otkrivanje. Metode prevencije imaju određene nedostatke u određenim situacijama, pa se čak i najsigurnije okruženje može naći pod napadom.

Ako postoje i aktivni alati za otkrivanje, o trovanju ARP-om znati ćete čim započne. Sve dok vaš mrežni administrator brzo djeluje nakon upozorenja, općenito možete proći zatvorite ove napade prije nego što se nanese veća šteta.

Dizajn slike zasnovan na ARP Spoofingu od 0x55534C ispod CC3.0

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me

About the author

Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.

Leave a Reply

Your email address will not be published. Required fields are marked *

23 + = 32