ARP spoofing

Den aktuelle version af siden er endnu ikke blevet gennemgået af erfarne bidragydere og kan afvige væsentligt fra den version , der blev gennemgået den 22. september 2016; checks kræver 66 redigeringer .

ARP-spoofing (ARP-forgiftning) er en type netværksangreb som MITM (English Man in the middle ), der bruges i netværk, der bruger ARP -protokollen . Anvendes hovedsageligt i Ethernet- netværk . Angrebet er baseret på manglerne i ARP-protokollen.

Når fjernsøgningsalgoritmer bruges i et distribueret computernetværk, er det muligt at udføre et typisk fjernangreb "falskt objekt af et distribueret computersystem" i et sådant netværk. En analyse af sikkerheden ved ARP-protokollen viser, at ved at opsnappe en ARP-udsendelsesanmodning på en angribende vært inden for et givet netværkssegment, kan du sende et falsk ARP-svar, hvori du erklærer dig selv som den ønskede vært (f.eks. en router ), og kontrollerer yderligere aktivt netværkstrafikken for den forkert informerede vært, idet den handler på den i henhold til skemaet "falsk RVS-objekt".

ARP-protokol

ARP (Address Resolution Protocol) er en netværksprotokol, der bruges til at bestemme MAC-adressen på en vært på et netværk ud fra en IP-adresse, og derved muliggøre kommunikation mellem LAN- og WAN-netværkslagsenheder.

Sådan virker det

Lad os sige, at vi har to Ethernet LAN'er forbundet med en router, og lad værten på det første LAN (node ​​A) ønsker at sende en pakke til værten på det andet LAN (node ​​B). IP-protokollen bestemmer IP-adressen på routergrænsefladen (IP1), som lokalnetværk 1 er forbundet til, hvor node A er placeret. Nu, for at pakken kan indkapsles i en ramme og overføres til routergrænsefladen med IP1. adresse, skal du kende MAC-adressen på denne grænseflade. Dernæst begynder arbejdet med ARP-protokollen. ARP-protokollen har sin egen ARP-tabel på hver netværksgrænseflade på en computer eller router, som registrerer korrespondancen mellem IP-adresser og MAC-adresser på netværksenheder. Lad alle ARP-tabeller være tomme først. Yderligere:

  1. IP-protokollen beder ARP-protokollen om MAC-adressen på grænsefladen med adressen IP1.
  2. ARP tjekker sin ARP-tabel og finder ikke en MAC-adresse, der matcher IP1
  3. Derefter genererer ARP-protokollen en ARP-anmodning (betydningen af ​​anmodningen er at finde ud af grænsefladens MAC-adresse ved dens IP-adresse), sætter den i en Ethernet-ramme og udsender denne ramme i lokalt netværk 1.
  4. Hvert LAN 1-interface modtager en ARP-anmodning og videresender den til sin egen ARP-protokol.
  5. Hvis grænsefladens ARP-protokol finder et match mellem grænsefladens IP-adresse og IP1, genererer ARP et ARP-svar (i dette tilfælde routerens ARP), der sendes til den anmodende vært. ARP-svaret indeholder MAC-adressen på grænsefladen, som rammen skal sendes til (i dette tilfælde routergrænsefladen forbundet til LAN 1).
  6. Dernæst sender node A en ramme med en indkapslet pakke til den tilsvarende grænseflade på routeren.

ARP sårbarheder

ARP-protokollen er sårbar - den autentificerer ikke ARP-anmodninger og ARP-svar. Og da netværksgrænsefladerne på computere understøtter spontan ARP (et ARP-svar sendes unødvendigt til enhedsgrænsefladen), så er netop i dette tilfælde et ARP-spoofing-angreb muligt.

ARP-spoofing angreb

Beskrivelse af angrebet

  1. To computere (noder) M og N i det lokale Ethernet -netværk udveksler meddelelser. Angriber X , som er på det samme netværk , ønsker at opsnappe beskeder mellem disse noder. Før et ARP-spoofing-angreb anvendes på netværksgrænsefladen for node M , indeholder ARP-tabellen IP- og MAC-adresserne for node N. Også på netværksgrænsefladen for node N indeholder ARP-tabellen IP- og MAC-adresserne for node M.
  2. Under et ARP-spoofing-angreb sender node X (angriberen) to ARP-svar (uden en anmodning) til node M og node N . ARP-svaret til vært M indeholder IP-adressen N og MAC-adressen X . ARP-svaret til node N indeholder IP-adressen M og MAC- adressen X.
  3. Da computere M og N understøtter spontan ARP, ændrer de efter at have modtaget et ARP-svar deres ARP-tabeller, og nu indeholder ARP-tabellen M MAC-adressen X forbundet med IP-adressen N , og ARP-tabellen N indeholder MAC-adressen X bundet til IP-adresse M .
  4. Således er ARP-spoofing angrebet udført, og nu går alle pakker (trafik) mellem M og N gennem X . For eksempel, hvis M ønsker at sende en pakke til computer N , så kigger M i dens ARP-tabel, finder en post med IP-adressen på vært N , vælger MAC-adressen derfra (og der er allerede MAC-adressen på vært X ) og sender pakken. Pakken ankommer til grænsefladen X , parses af den og videresendes derefter til node N.

ARP spoofing værktøjer

[en]

ARP spoofing detektion og forebyggelse

Programmer ArpON, arpwatch, BitCometAntiARP

Disse programmer overvåger ARP-aktivitet på givne grænseflader. Kan registrere et ARP-spoofing-angreb, men kan ikke forhindre det. Netværksadministratorindgreb er påkrævet for at forhindre angrebet.

VLAN organisation

Hvis det lokale netværk er opdelt i flere VLAN'er, kan ARP-spoofing-angrebet kun anvendes på computere, der er placeret i det samme VLAN. Den ideelle situation ud fra et sikkerhedssynspunkt er kun at have én computer og routergrænseflade på det samme VLAN. Et ARP-spoofing-angreb på et sådant segment er ikke muligt.

Brug af statisk ARP

Du kan undgå ARP-spoofing-angrebet ved manuelt at opsætte ARP-tabellen. Så vil angriberen ikke være i stand til at opdatere ARP-tabellerne ved at sende ARP-svar til computerens grænseflader.

Brug af kryptering

For at forhindre et ARP-spoofing-angreb (såvel som ethvert man-in-the-middle-angreb) på et lokalt netværk, kan datakrypteringsprotokoller bruges til at beskytte overført information mod en ubuden gæst. For eksempel protokoller som PPPoE eller IPSec .

Se også

Noter

  1. {Cite web|url= https://blog.dubkov.org/security/wi-fi/arp-spoofing-intercepter-ng/%7Ctitle=ARP-Spoofing with Intercepter-NG|author=|website=|date = |publisher=Nikolai Dubkov|accessdate=2016-04-06|archive-date=2019-07-21|arkivrotationsindstillinger kamera hive-url= https://web.archive.org/web/20190721093920/http:// blog.dubkov.org/security/wi-fi/arp-spoofing-intercepter-ng/%7Cdeadlink=no}

Links