ARP spoofing
Den aktuelle version af siden er endnu ikke blevet gennemgået af erfarne bidragydere og kan afvige væsentligt fra den
version , der blev gennemgået den 22. september 2016; checks kræver
66 redigeringer .
ARP-spoofing (ARP-forgiftning) er en type netværksangreb som MITM (English Man in the middle ), der bruges i netværk, der bruger ARP -protokollen . Anvendes hovedsageligt i Ethernet- netværk . Angrebet er baseret på manglerne i ARP-protokollen.
Når fjernsøgningsalgoritmer bruges i et distribueret computernetværk, er det muligt at udføre et typisk fjernangreb "falskt objekt af et distribueret computersystem" i et sådant netværk. En analyse af sikkerheden ved ARP-protokollen viser, at ved at opsnappe en ARP-udsendelsesanmodning på en angribende vært inden for et givet netværkssegment, kan du sende et falsk ARP-svar, hvori du erklærer dig selv som den ønskede vært (f.eks. en router ), og kontrollerer yderligere aktivt netværkstrafikken for den forkert informerede vært, idet den handler på den i henhold til skemaet "falsk RVS-objekt".
ARP-protokol
ARP (Address Resolution Protocol) er en netværksprotokol, der bruges til at bestemme MAC-adressen på en vært på et netværk ud fra en IP-adresse, og derved muliggøre kommunikation mellem LAN- og WAN-netværkslagsenheder.
Sådan virker det
Lad os sige, at vi har to Ethernet LAN'er forbundet med en router, og lad værten på det første LAN (node A) ønsker at sende en pakke til værten på det andet LAN (node B). IP-protokollen bestemmer IP-adressen på routergrænsefladen (IP1), som lokalnetværk 1 er forbundet til, hvor node A er placeret. Nu, for at pakken kan indkapsles i en ramme og overføres til routergrænsefladen med IP1. adresse, skal du kende MAC-adressen på denne grænseflade. Dernæst begynder arbejdet med ARP-protokollen. ARP-protokollen har sin egen ARP-tabel på hver netværksgrænseflade på en computer eller router, som registrerer korrespondancen mellem IP-adresser og MAC-adresser på netværksenheder. Lad alle ARP-tabeller være tomme først. Yderligere:
- IP-protokollen beder ARP-protokollen om MAC-adressen på grænsefladen med adressen IP1.
- ARP tjekker sin ARP-tabel og finder ikke en MAC-adresse, der matcher IP1
- Derefter genererer ARP-protokollen en ARP-anmodning (betydningen af anmodningen er at finde ud af grænsefladens MAC-adresse ved dens IP-adresse), sætter den i en Ethernet-ramme og udsender denne ramme i lokalt netværk 1.
- Hvert LAN 1-interface modtager en ARP-anmodning og videresender den til sin egen ARP-protokol.
- Hvis grænsefladens ARP-protokol finder et match mellem grænsefladens IP-adresse og IP1, genererer ARP et ARP-svar (i dette tilfælde routerens ARP), der sendes til den anmodende vært. ARP-svaret indeholder MAC-adressen på grænsefladen, som rammen skal sendes til (i dette tilfælde routergrænsefladen forbundet til LAN 1).
- Dernæst sender node A en ramme med en indkapslet pakke til den tilsvarende grænseflade på routeren.
ARP sårbarheder
ARP-protokollen er sårbar - den autentificerer ikke ARP-anmodninger og ARP-svar. Og da netværksgrænsefladerne på computere understøtter spontan ARP (et ARP-svar sendes unødvendigt til enhedsgrænsefladen), så er netop i dette tilfælde et ARP-spoofing-angreb muligt.
ARP-spoofing angreb
Beskrivelse af angrebet
- To computere (noder) M og N i det lokale Ethernet -netværk udveksler meddelelser. Angriber X , som er på det samme netværk , ønsker at opsnappe beskeder mellem disse noder. Før et ARP-spoofing-angreb anvendes på netværksgrænsefladen for node M , indeholder ARP-tabellen IP- og MAC-adresserne for node N. Også på netværksgrænsefladen for node N indeholder ARP-tabellen IP- og MAC-adresserne for node M.
- Under et ARP-spoofing-angreb sender node X (angriberen) to ARP-svar (uden en anmodning) til node M og node N . ARP-svaret til vært M indeholder IP-adressen N og MAC-adressen X . ARP-svaret til node N indeholder IP-adressen M og MAC- adressen X.
- Da computere M og N understøtter spontan ARP, ændrer de efter at have modtaget et ARP-svar deres ARP-tabeller, og nu indeholder ARP-tabellen M MAC-adressen X forbundet med IP-adressen N , og ARP-tabellen N indeholder MAC-adressen X bundet til IP-adresse M .
- Således er ARP-spoofing angrebet udført, og nu går alle pakker (trafik) mellem M og N gennem X . For eksempel, hvis M ønsker at sende en pakke til computer N , så kigger M i dens ARP-tabel, finder en post med IP-adressen på vært N , vælger MAC-adressen derfra (og der er allerede MAC-adressen på vært X ) og sender pakken. Pakken ankommer til grænsefladen X , parses af den og videresendes derefter til node N.
ARP spoofing værktøjer
- Ettercap
- Bedre kasket
- Kain og Abel
- dsniff
- arp-sk
- ARP Builder
- AyCarrumba
- Intercepter-NG [1]
- Simsang
- ARPoison
[en]
ARP spoofing detektion og forebyggelse
Programmer ArpON, arpwatch, BitCometAntiARP
Disse programmer overvåger ARP-aktivitet på givne grænseflader. Kan registrere et ARP-spoofing-angreb, men kan ikke forhindre det. Netværksadministratorindgreb er påkrævet for at forhindre angrebet.
VLAN organisation
Hvis det lokale netværk er opdelt i flere VLAN'er, kan ARP-spoofing-angrebet kun anvendes på computere, der er placeret i det samme VLAN. Den ideelle situation ud fra et sikkerhedssynspunkt er kun at have én computer og routergrænseflade på det samme VLAN. Et ARP-spoofing-angreb på et sådant segment er ikke muligt.
Brug af statisk ARP
Du kan undgå ARP-spoofing-angrebet ved manuelt at opsætte ARP-tabellen. Så vil angriberen ikke være i stand til at opdatere ARP-tabellerne ved at sende ARP-svar til computerens grænseflader.
Brug af kryptering
For at forhindre et ARP-spoofing-angreb (såvel som ethvert man-in-the-middle-angreb) på et lokalt netværk, kan datakrypteringsprotokoller bruges til at beskytte overført information mod en ubuden gæst. For eksempel protokoller som PPPoE eller IPSec .
Se også
Noter
- ↑ {Cite web|url= https://blog.dubkov.org/security/wi-fi/arp-spoofing-intercepter-ng/%7Ctitle=ARP-Spoofing with Intercepter-NG|author=|website=|date = |publisher=Nikolai Dubkov|accessdate=2016-04-06|archive-date=2019-07-21|arkivrotationsindstillinger kamera hive-url= https://web.archive.org/web/20190721093920/http:// blog.dubkov.org/security/wi-fi/arp-spoofing-intercepter-ng/%7Cdeadlink=no}
Links