Vad är ARP Spoofing?Tekniken ARP Spoofing Det består i princip av att utnyttja en design sårbarhet i ARP -protokollet och implementering av ARP -cache i värdarna.
På nätverksskiktet (ISO / OSI) är käll- och destinationssystemen väldefinierade av sina IP -adresser, men på länklagernivån är det nödvändigt att bestämma MAC -adresserna för varje värd.
ARP (RFC 826) är ett adressöversättningsprotokoll mellan två olika adresseringsscheman, som är fallet mellan IP -protokollet och MAC -protokollet. I grund och botten är dess funktion i ett Ethernet -nätverk att bestämma MAC -adressen för en station med tanke på dess IP -adress. Översättningen utförs genom ett utbyte av frågemeddelanden och ARP -svar.
Den grundläggande mekanismen fungerar genom att skicka ett 28-bytes meddelande till sändningsadressen och endast rätt värd svarar direkt på avsändaren av frågan.
För att ARP -frågan ska nå alla enheter anges destinations -MAC -adressen FF: FF: FF: FF: FF: FF (A.K.A. Broadcast MAC -adress). När en switch tar emot en ram avsedd för FF: FF: FF: FF: FF: FF, fortsätter den att vidarebefordra nämnda ram genom alla andra portar (avsikten är att alla värdar "lyssnar" på frågan).
FÖRSTORA
Det erhållna svaret används för att bestämma destinations -MAC -adressen och därmed kan överföringen börja.
FÖRSTORA
Det erhållna IP-MAC-förhållandet lagras tillfälligt i en tabell med ARP-poster (ARP-cache) på ett sådant sätt att om Bob försöker skicka data till Alice igen i framtiden är det bara att konsultera ARP-cachetabellen för att bestäm Alice's MAC. du behöver inte "fråga igen".
Beroende på operativsystemets implementering kan dessa ARP -cacheposter uppdateras baserat på deras senaste användning, senast när MAC -adressen "observerades" osv. De kan också ställas in statiskt genom manuell konfiguration.
I alla fall validerar inte ARP -protokollet de data som erhållits i ARP -svaret, det vill säga om Bob får ett ARP -svar som indikerar att en viss MAC är bunden till Alices IP kommer Bob att acceptera informationen "utan att tveka". Du får skicka ARP -svar utan en föregående fråga, och kallas "gratis ARP" -meddelanden. Dessa meddelanden kommer att användas av systemen som tar emot dem för att uppdatera informationen i ARP -cachetabellen.
En angripare kan avsiktligt skicka ARP -svar utan en föregående fråga ("gratis arp"), med angivande av att hans egen MAC motsvarar Alices IP, och Bob kommer att acceptera dessa svar som "information i sista minuten" och fortsätta att uppdatera posten i ARP cachetabell för Alices IP med angriparens MAC.
ARP Spoofing-tekniken består av att skicka felaktig information om MAC-IP-översättningen; När Bob använder denna falska information för att uppdatera sin ARP -cache, uppstår en ARP -förgif.webptningssituation (ARP -förgif.webptning).
Denna situation kommer att leda till att ramarna som Bob skickar till Alices IP levereras av växeln till angriparens port (kom ihåg att omkopplaren tittar på MAC).
Om angriparen nu tillämpar samma teknik på Alice och övertygar Alice om att attackerarens MAC -adress motsvarar Bobs IP -adress, har angriparen övertygat Bob om att han är Alice och Alice att han är Bob och uppnår en mellanliggande situation (Man in the Mitten).
Det kommer att vara angriparens ansvar att vidarebefordra ramarna till varje system för att hålla trafiken aktiv och undvika kommunikationsproblem i det övre lagret. Dessutom kan angriparen inspektera trafiken, få känslig data, manipulera information etc.
System inblandade
Användningssystem för testningBob AA: BB: CC: 11: 22: 33 (192.168.0.1/24)
Alice AA: BB: CC: 22: 33: 44 (192.168.0.2/24)
Angripare AA: BB: CC: 88: 88: 88 (192.168.0.3/24)
För det attackerande systemet kommer det att användas GNU / Linux Ubuntu och för offren kommer jag att använda Windows XP SP3 men offrets operativsystem spelar ingen roll. Först måste ett verktyg som gör att ARP Spoofing -meddelanden kan skickas till offer användas för att testa ARP -förgif.webptning. För denna handledning kommer jag att använda "dsniff", som i grunden är en verktygslåda för lösenordssniffning.
Bland verktygen som ingår i dsniff -paket, det finns "arpspoof”, Som i princip utför ARP -spoofing på det utsatta offret.
Till installera dsniff skriv in en terminal:
$ sudo apt-get install dsniffMed det installerar du det.
Analys före attack
I det första ögonblicket har Bob en post i sin ARP -cache som indikerar att Alices IP -adress motsvarar MAC AA: BB: CC: 22: 33: 44.
För att se ARP -cachetabellen, gå till:
- Start
- Springa
- cmd
I Windows -terminalen skriver du:
Stort tältDu får det aktuella innehållet i Bobs ARP -cachetabell:
På samma sätt på Alice's PC:
Ge sig på
I första hand är vidarebefordra bit i angreppssystemet:
# echo 1> / proc / sys / net / ipv4 / ip_forwardPå detta sätt undviks paketförlust, Bob och Alice kommer att kunna interagera som om ingenting hände.
De arpspoof -kommando används enligt följande:
# arpspoof -i INTERFAZ_LAN -t IP_VICTIMA_POISONING IP_VICTIMA_SPOOFEDVarifrån:
INTERFAZ_LANNätverkskort som vi kommer att använda för attacken, MAC -adressen för det gränssnittet tas för ARP Spoofing -meddelanden.
IP_VICTIMA_POISONINGDet är offrets IP -adress vars ARP -cachetabell förgif.webptas.
IP_VICTIMA_SPOOFEDDet är IP -adressen som anger posten i offrets ARP -cachetabell som attackerarens MAC kommer att kopplas till.
För att övertyga Alice om att Bob har MAC AA: BB: CC: 88: 88: 88, kör Arpspoof enligt följande:
# arpspoof -i eth0 -t 192.168.0.2 192.168.0.1ARP -svarsmeddelanden kommer att skickas till Alice med manipulerad information:
Starta EN ANNAN terminal (den föregående ska inte avbrytas) och utför attacken i motsatt riktning, för att övertyga Bob om att Alice har MAC AA: BB: CC: 88: 88: 88, i Attacker -systemterminalen kör arpspoof enligt följande :
# arpspoof -i eth0 -t 192.168.0.1 192.168.0.2ARP -svarsmeddelanden kommer att skickas till Bob med manipulerad information:
Från och med nu behåller angriparen statusen för en mellanhand (MitM) genom att skicka manipulerade ARP -meddelanden:
FÖRSTORA
Genom att upprepa de första stegen är det möjligt att kontrollera hur Bobs och Alices ARP -cacheposter har uppdaterats med Angriparens MAC:
Bobs ARP -cache:
Alices ARP -cache:
Ramarna som Bob skickar till Alice levereras till angriparen och angriparen vidarebefordrar dem till Alice. På samma sätt levereras ramarna som skickas av Alice till angriparen och han vidarebefordrar dem till Bob.
FÖRSTORA
Angriparen kan fånga trafik med sitt nätverkskort i promiskuöst läge och få till exempel åtkomstuppgif.webpter till en webbportal som inte använder SSL.
Till exempel, i följande trafikupptagning, har en angripare erhållit åtkomstuppgif.webpter till en PHPMyAdmin -portal: (Användarens "root", lösenordet "ad00")
FÖRSTORA
Slutligen, för att stänga attacken utan att avbryta kommunikationen, stoppar angriparen "arpspoof" -terminalen genom att trycka på knapparna:
Ctrl + C
Och verktyget skickar automatiskt ARP -frågor till varje offer så att ARP -cachinformationen uppdateras med rätt data.
Vid denna tidpunkt släpper attackeraren kommunikation och kan koppla från nätverket för att analysera den redan erhållna trafiken.
Vissa antivirussystem övervakar ändringarna av poster i ARP -cachetabellen, även för GNU / Linux finns det ett verktyg som heter "ARPWatch”Det varnar för en förändring av ARP-IP-förhållandet i systemets ARP-cachetabeller.
I en annan artikel, möjliga tekniker för att förhindra MitM -attacker baserade på ARP Spoofing och ARP Poisoning.
Gillade du och hjälpte denna handledning?Du kan belöna författaren genom att trycka på den här knappen för att ge honom en positiv poäng
