ARP hamisítás

Az ARP-hamisítás (ARP-pooning) egyfajta hálózati támadás, mint például az MITM (English Man in the middle ), amelyet az ARP protokollt használó hálózatokban használnak . Főleg Ethernet hálózatokban használják . A támadás az ARP protokoll hiányosságain alapul.

Ha távoli keresési algoritmusokat használnak egy elosztott számítástechnikai hálózatban, akkor lehetséges egy tipikus távoli támadás "egy elosztott számítási rendszer hamis objektuma ellen" egy ilyen hálózatban. Az ARP protokoll biztonságának elemzése azt mutatja, hogy egy ARP broadcast kérés elfogásával egy támadó gazdagépen egy adott hálózati szegmensen belül, hamis ARP-választ küldhet, amelyben Ön a kívánt gazdagépnek nyilatkozik (például router). ), és továbbra is aktívan szabályozza a félreinformált gazdagép hálózati forgalmát, a "hamis RVS objektum" séma szerint járva el.

ARP protokoll

Az ARP (Address Resolution Protocol) egy hálózati protokoll, amely a hálózaton lévő gazdagép MAC-címének meghatározására szolgál egy IP-cím alapján, ezáltal lehetővé téve a kommunikációt a LAN és a WAN hálózati rétegbeli eszközök között.

Hogyan működik

Tegyük fel, hogy két Ethernet LAN-unk van összekötve egy routerrel, és hagyjuk, hogy az első LAN-on lévő gazdagép (A csomópont) csomagot akarjon küldeni a második LAN-on (B csomópont) lévő gazdagépnek. Az IP protokoll meghatározza annak a router interfésznek (IP1) az IP címét, amelyhez az 1. helyi hálózat csatlakozik, ahol az A csomópont található. Most azért, hogy a csomag egy keretbe kerüljön, és az IP1-gyel továbbítható legyen a router interfészére címet, ismernie kell ennek az interfésznek a MAC-címét. Ezután megkezdődik az ARP protokoll munkája. Az ARP protokollnak saját ARP-táblázata van a számítógép vagy útválasztó minden hálózati interfészén, amely rögzíti a hálózati eszközök IP-címei és MAC-címei közötti megfelelést. Először legyen üres minden ARP tábla. További:

1. Az IP protokoll az IP1 címmel rendelkező interfész MAC címét kéri az ARP protokolltól.
2. Az ARP ellenőrzi az ARP-tábláját, és nem talál olyan MAC-címet, amely megfelelne az IP1-nek
3. Ezután az ARP protokoll generál egy ARP kérést (a kérés jelentése az, hogy az interfész MAC-címét az IP-cím alapján megtudja), Ethernet keretbe helyezi és ezt a keretet sugározza az 1-es helyi hálózatban.
4. Minden LAN 1 interfész kap egy ARP kérést, és továbbítja azt a saját ARP protokolljához.
5. Ha az interfész ARP-protokollja egyezést talál az interfész IP-címe és az IP1 között, akkor az ARP ARP-választ generál (ebben az esetben az útválasztó ARP-jét), amelyet elküld a kérelmező gazdagépnek. Az ARP-válasz tartalmazza annak az interfésznek a MAC-címét, amelyre a keretet el kell küldeni (ebben az esetben a LAN 1-hez csatlakoztatott útválasztó interfészét).
6. Ezután az A csomópont egy keretet küld egy beágyazott csomaggal az útválasztó megfelelő interfészére.

ARP sebezhetőségek

Az ARP protokoll sebezhető – nem hitelesíti az ARP kéréseket és ARP válaszokat. És mivel a számítógépeken a hálózati interfészek támogatják a spontán ARP-t (az eszköz interfészére szükségtelenül ARP-választ küldenek), akkor éppen ebben az esetben lehetséges az ARP-hamisítás.

ARP-hamisító támadás

A támadás leírása

1. Két számítógép (csomópont) M és N a helyi Ethernet hálózatban üzenetet cserél. X támadó , aki ugyanazon a hálózaton van , el akarja fogni az üzeneteket ezen csomópontok között. Mielőtt ARP-hamisítási támadást alkalmaznának az M csomópont hálózati interfészén , az ARP-tábla tartalmazza az N csomópont IP- és MAC-címét . Az N csomópont hálózati interfészén is az ARP tábla tartalmazza az M csomópont IP és MAC címét .
2. Egy ARP-hamisítási támadás során az X csomópont (a támadó) két ARP-választ küld (kérelem nélkül) az M és az N csomópontnak . Az M gazdagépnek adott ARP-válasz tartalmazza az N IP-címet és az X MAC-címet . Az N csomópontra küldött ARP válasz tartalmazza az M IP-címet és az X MAC-címet .
3. Mivel az M és N számítógépek támogatják a spontán ARP-t, az ARP-válasz vétele után megváltoztatják az ARP-tábláikat, és most az M ARP-tábla tartalmazza az N IP-címhez tartozó X MAC -címet, az N ARP-tábla pedig az X MAC-címet kötötten . M IP címre .
4. Így az ARP-spoofing támadás megtörtént, és most minden M és N közötti csomag (forgalom) átmegy X -en . Például, ha M csomagot akar küldeni az N számítógépre , akkor M belenéz az ARP táblájába, keres egy bejegyzést az N gazdagép IP-címével , onnan kiválasztja a MAC-címet (és már megvan az X gazdagép MAC-címe ) és továbbítja a csomagot. A csomag az X interfészre érkezik , az elemzi , majd továbbítja az N csomóponthoz.

ARP hamisító eszközök

• Ettercap
• Bettercap
• Káin és Ábel
• szippantás
• arp-sk
• ARP Builder
• AyCarrumba
• Intercepter-NG [1]
• Simsang
• ARPoison

[egy]

ARP-hamisítás észlelése és megelőzése

Programok ArpON, arpwatch, BitCometAntiARP

Ezek a programok nyomon követik az ARP tevékenységét adott interfészeken. Az ARP-hamisítást észleli, de nem tudja megakadályozni. A támadás megelőzéséhez hálózati rendszergazda beavatkozásra van szükség.

VLAN szervezet

Ha a helyi hálózat több VLAN-ra van felosztva, akkor az ARP-hamisítási támadás csak az ugyanabban a VLAN-ban található számítógépekre alkalmazható. Biztonsági szempontból az ideális helyzet az, ha ugyanazon a VLAN-on csak egy számítógép és útválasztó interfész van. Egy ilyen szegmens elleni ARP-hamisítás nem lehetséges.

Statikus ARP használata

Az ARP hamisítási támadást elkerülheti az ARP-tábla manuális beállításával. Ekkor a támadó nem tudja frissíteni az ARP-táblákat azáltal, hogy ARP-válaszokat küld a számítógép-interfészekre.

A titkosítás használata

Az ARP-hamisító támadások (valamint a köztes támadások) megelőzése érdekében a helyi hálózaton adattitkosítási protokollok használhatók a továbbított információk védelmére a behatolókkal szemben. Például olyan protokollok, mint a PPPoE vagy az IPSec .

Lásd még

• férfi a közepén
• Linkréteg támadások

Jegyzetek

1. ↑ {Cite web|url= https://blog.dubkov.org/security/wi-fi/arp-spoofing-intercepter-ng/%7Ctitle=ARP-Spoofing with Intercepter-NG|author=|website=|date = |kiadó=Nikolaj Dubkov|accessdate=2016-04-06|archive-date=2019-07-21|archívum elforgatási beállításai, kamera hive-url= https://web.archive.org/web/20190721093920/http:/ / blog.dubkov.org/security/wi-fi/arp-spoofing-intercepter-ng/%7Cdeadlink=no}

Linkek

• ARP hamisítás az Xgu.ru oldalon
• könyv "Számítógépes hálózatok", szerzők - V. Olifer, N. Olifer
• Hamis ARP szerver az interneten
• ARP-hamisítás: egy régi dal új módon Archiválva : 2013. július 29. a Wayback Machine -nél
• ARP-spoofing támadás megvalósítása helyi hálózaton jelszó-elfogással