Orodja za uporabo pri napadu ponarejanja ARP
Obstaja veliko orodij, kot so Arpspoof, Cain & Abel, Arpoison in Ettercap, ki so na voljo za zagon ponarejanja ARP.
Tukaj je posnetek zaslona, ki prikazuje, kako lahko omenjena orodja sporno pošljejo zahtevo ARP:
Podrobnosti o lažnem napadu ARP
Oglejmo si nekaj posnetkov zaslona in korak za korakom razumemo ponarejanje ARP:
Korak 1 :
Napadalec pričakuje, da bo prejel odgovor ARP, da bo lahko izvedel naslov MAC žrtve. Zdaj, če gremo dlje na danem posnetku zaslona, lahko vidimo, da obstajata 2 odgovora ARP z naslovov IP 192.168.56.100 in 192.168.56.101. Po tem žrtev [192.168.56.100 in 192.168.56.101] posodobi svoj predpomnilnik ARP, vendar ni vrnila poizvedbe. Torej se vnos v predpomnilnik ARP nikoli ne popravi.
Številki paketa zahteve ARP sta 137 in 138. Številki paketa odziva ARP sta 140 in 143.
Tako napadalec najde ranljivost s ponarejanjem ARP. To se imenuje 'vstop napada'.
2. korak:
Številke paketov so 141, 142 in 144, 146.
Iz prejšnje dejavnosti ima napadalec zdaj veljavna naslova MAC 192.168.56.100 in 192.168.56.101. Naslednji korak za napadalca je pošiljanje paketa ICMP na naslov IP žrtve. Na danem posnetku zaslona lahko vidimo, da je napadalec poslal paket ICMP in prejel odgovor ICMP od 192.168.56.100 in 192.168.56.101. To pomeni, da sta dosegljiva oba naslova IP [192.168.56.100 in 192.168.56.101].
3. korak:
Vidimo lahko, da obstaja zadnja zahteva ARP za naslov IP 192.168.56.101 za potrditev, da je gostitelj aktiven in ima isti naslov MAC 08:00:27:dd:84:45.
Podana številka paketa je 3358.
4. korak:
Obstaja še ena zahteva in odgovor ICMP z naslovom IP 192.168.56.101. Številki paketov sta 3367 in 3368.
Od tu lahko mislimo, da napadalec cilja na žrtev, katere naslov IP je 192.168.56.101.
Zdaj vse informacije, ki prihajajo z naslova IP 192.168.56.100 ali 192.168.56.101 na IP 192.168.56.1, dosežejo napadalca z naslovom MAC, katerega naslov IP je 192.168.56.1.
5. korak:
Ko ima napadalec dostop, poskuša vzpostaviti dejansko povezavo. Na danem posnetku zaslona lahko vidimo, da napadalec poskuša vzpostaviti povezavo HTTP. Znotraj HTTP je povezava TCP, kar pomeni, da mora obstajati 3-SMERNO rokovanje. To so izmenjave paketov za TCP:
SYN -> SYN+ACK -> ACK.
Na danem posnetku zaslona lahko vidimo, da napadalec večkrat poskuša paket SYN na različnih vratih. Številka okvirja od 3460 do 3469. Številka paketa 3469 SYN je za vrata 80, ki so HTTP.
6. korak:
Prvo uspešno rokovanje TCP je prikazano pri naslednjih številkah paketov iz danega posnetka zaslona:
4488: Okvir SYN od napadalca
4489: okvir SYN+ACK iz 192.168.56.101
4490: Okvir ACK od napadalca
7. korak:
Ko je povezava TCP uspešna, lahko napadalec vzpostavi povezavo HTTP [številka okvirja 4491 do 4495], ki ji sledi povezava SSH [številka okvirja 4500 do 4503].
Zdaj ima napad dovolj nadzora, da lahko naredi naslednje:
- Napad z ugrabitvijo seje
- Človek v sredini napada [MITM]
- Napad zavrnitve storitve (DoS).
Kako preprečiti lažni napad ARP
Tukaj je nekaj zaščit, ki jih je mogoče uporabiti za preprečitev napada ponarejanja ARP:
- Uporaba vnosov »Statični ARP«.
- Programska oprema za odkrivanje in preprečevanje ponarejanja ARP
- Filtriranje paketov
- VPN-ji itd.
Prav tako bi lahko preprečili, da bi se to ponovilo, če uporabimo HTTPS namesto HTTP in uporabimo varnost transportne plasti SSL (Secure Socket layer). To je zato, da so vse komunikacije šifrirane.
Zaključek
Iz tega članka smo dobili nekaj osnovnih idej o napadu ponarejanja ARP in o tem, kako lahko dostopa do katerega koli vira sistema. Prav tako zdaj vemo, kako ustaviti tovrstne napade. Te informacije so v pomoč omrežnemu skrbniku ali kateremu koli uporabniku sistema pri zaščiti pred napadom ponarejanja ARP.