ARP Spoofing Attack Analysis v programe Wireshark

Nástroje na použitie v ARP Spoofing Attack

Existuje mnoho nástrojov ako Arpspoof, Cain & Abel, Arpoison a Ettercap, ktoré sú k dispozícii na spustenie spoofingu ARP.

Tu je snímka obrazovky, ktorá ukazuje, ako môžu uvedené nástroje odosielať požiadavku ARP sporne:

ARP spoofing Attack v detailoch

Pozrime sa na niekoľko snímok obrazovky a pochopíme krok za krokom spoofing ARP:

Krok 1 :

Útočník očakáva, že dostane odpoveď ARP, aby mohol zistiť MAC adresu obete. Teraz, ak ideme ďalej na danej snímke obrazovky, vidíme, že existujú 2 odpovede ARP z adries IP 192.168.56.100 a 192.168.56.101. Potom obeť [192.168.56.100 a 192.168.56.101] aktualizuje svoju vyrovnávaciu pamäť ARP, ale nežiada späť. Takže záznam vo vyrovnávacej pamäti ARP sa nikdy neopraví.

Čísla paketov požiadavky ARP sú 137 a 138. Čísla paketov odpovede ARP sú 140 a 143.

Útočník teda nájde zraniteľnosť vykonaním spoofingu ARP. Toto sa nazýva „vstup do útoku“.

Krok 2:
Čísla paketov sú 141, 142 a 144, 146.

Z predchádzajúcej aktivity má útočník teraz platné MAC adresy 192.168.56.100 a 192.168.56.101. Ďalším krokom pre útočníka je odoslanie ICMP paketu na IP adresu obete. A z danej snímky obrazovky vidíme, že útočník poslal ICMP paket a dostal odpoveď ICMP z 192.168.56.100 a 192.168.56.101. To znamená, že obe adresy IP [192.168.56.100 a 192.168.56.101] sú dosiahnuteľné.

Krok 3:

Vidíme, že existuje posledná požiadavka ARP na IP adresu 192.168.56.101 na potvrdenie, že hostiteľ je aktívny a má rovnakú MAC adresu 08:00:27:dd:84:45.

Dané číslo paketu je 3358.

Krok 4:

Existuje ďalšia požiadavka a odpoveď ICMP s adresou IP 192.168.56.101. Čísla paketov sú 3367 a 3368.

Tu si môžeme myslieť, že útočník sa zameriava na obeť, ktorej IP adresa je 192.168.56.101.

Všetky informácie, ktoré pochádzajú z adresy IP 192.168.56.100 alebo 192.168.56.101 až IP 192.168.56.1, sa teraz dostanú k útočníkovi s adresou MAC, ktorého adresa IP je 192.168.56.1.

Krok 5:

Akonáhle má útočník prístup, pokúsi sa vytvoriť skutočné spojenie. Z uvedenej snímky obrazovky vidíme, že sa útočník pokúša nadviazať spojenie HTTP. Vo vnútri HTTP je pripojenie TCP, čo znamená, že by malo existovať trojcestné podanie ruky. Toto sú výmeny paketov pre TCP:

SYN -> SYN+ACK -> ACK.

Z uvedenej snímky obrazovky môžeme vidieť, že útočník skúša SYN paket viackrát na rôznych portoch. Číslo rámca 3460 až 3469. Číslo paketu 3469 SYN je pre port 80, čo je HTTP.

Krok 6:

Prvý úspešný TCP handshake sa zobrazí pri nasledujúcich číslach paketov z danej snímky obrazovky:

4488: SYN rámec od útočníka
4489: rám SYN+ACK z 192.168.56.101
4490: ACK rámec od útočníka

Krok 7:

Po úspešnom TCP spojení je útočník schopný nadviazať spojenie HTTP [číslo rámca 4491 až 4495] a následne spojenie SSH [číslo rámca 4500 až 4503].

Teraz má útok dostatočnú kontrolu, takže môže robiť nasledovné:

• Útok únosu relácie
• Muž v strede útoku [MITM]
• Útok DoS (Denial of Service).

Ako zabrániť útoku spoofingu ARP

Tu sú niektoré ochrany, ktoré možno použiť na zabránenie útoku spoofingu ARP:

1. Použitie záznamov „Static ARP“.
2. Softvér na detekciu a prevenciu spoofingu ARP
3. Filtrovanie paketov
4. VPN atď.

Mohli by sme tiež zabrániť tomu, aby sa to opakovalo, ak namiesto HTTP použijeme HTTPS a použijeme zabezpečenie transportnej vrstvy SSL (Secure Socket layer). Je to preto, aby bola všetka komunikácia šifrovaná.

Záver

Z tohto článku sme získali základnú predstavu o spoofingovom útoku ARP a o tom, ako môže získať prístup k zdroju akéhokoľvek systému. Teraz tiež vieme, ako zastaviť tento druh útoku. Tieto informácie pomáhajú správcovi siete alebo ktorémukoľvek používateľovi systému chrániť sa pred útokom spoofingu ARP.