Simple Man in the Middle MitM (ARP Spoofing) napad

Simple Man in the Middle MitM (ARP Spoofing) napad

Što je ARP Spoofing?Tehnika ARP Spoofing U osnovi se sastoji od iskorištavanja ranjivosti dizajna u ARP protokolu i implementacije ARP predmemorije u hostove.

Na mrežnom sloju (ISO / OSI) izvorni i odredišni sustavi dobro su definirani svojim IP adresama, no na razini sloja veze potrebno je odrediti MAC adrese svakog hosta.

ARP (RFC 826) je protokol za prevođenje adresa između dvije različite sheme adresiranja, kao što je slučaj između IP protokola i MAC protokola. U osnovi, njegova funkcija u Ethernet mreži je utvrđivanje MAC adrese postaje s obzirom na njezinu IP adresu. Prijevod se vrši razmjenom poruka upita i ARP odgovora.

Osnovni mehanizam funkcionira tako što šalje 28-bitnu poruku na adresu emitiranja, a samo ispravan domaćin odgovara izravno pošiljatelju upita.

Da bi ARP upit došao do svih uređaja, navedena je odredišna MAC adresa FF: FF: FF: FF: FF: FF (A.K.A. Broadcast MAC adresa). Kada Switch primi okvir namijenjen za FF: FF: FF: FF: FF: FF, on nastavlja prosljeđivati ​​navedeni okvir kroz sve ostale portove (namjera je da svi domaćini "poslušaju" pitanje).

POVEĆAJTE

Dobiveni odgovor koristi se za određivanje odredišne ​​MAC adrese i stoga prijenos može započeti.

POVEĆAJTE

Dobiveni odnos IP-MAC bit će privremeno pohranjen u tablici ARP unosa (ARP predmemorija) na takav način da ako Bob ubuduće ponovno pokuša poslati podatke Alice, sve što treba učiniti je pregledati tablicu ARP predmemorije kako bi odrediti Alisin MAC. nema potrebe "ponovno pitati".

Ovisno o implementaciji operacijskog sustava, ti se ARP predmemorijski unosi mogu ažurirati na temelju njihove posljednje uporabe, zadnji put kada je MAC adresa "promatrana" itd. Mogu se postaviti i statički, ručnom konfiguracijom.

U svim slučajevima, ARP protokol ne potvrđuje podatke dobivene u ARP odgovoru, odnosno ako Bob primi ARP odgovor koji pokazuje da je određeni MAC vezan za Alisin IP, Bob će prihvatiti informaciju "bez oklijevanja". Dopušteno vam je slanje ARP odgovora bez prethodnog pitanja, a nazivaju se „gratuitous ARP“ poruke. Te će poruke sustavi koji ih primaju koristiti za ažuriranje podataka u tablici ARP predmemorije.

Napadač može namjerno poslati ARP odgovore bez prethodnog pitanja ("besplatni arp"), navodeći da njegov vlastiti MAC odgovara Alisinom IP -u, a Bob će prihvatiti te odgovore kao "informacije u zadnjoj minuti" i nastaviti ažurirati unos u ARP -u predmemorirana tablica za Alisin IP s napadačevim MAC -om.

ARP Spoofing tehnika sastoji se od slanja netočnih informacija o prijevodu MAC-IP; Kad Bob koristi ove lažne podatke za ažuriranje svoje ARP predmemorije, dolazi do situacije s trovanjem ARP -om (ARP otrovanje).

Ova situacija će uzrokovati da okviri koje Bob šalje Aliceinoj IP adresi, budu isporučeni od strane Switch -a do porta napadača (zapamtite da Switch gleda MAC -ove).

Sada, ako napadač primijeni istu tehniku ​​na Alice, uvjerivši Alisu da MAC adresa napadača odgovara Bobovoj IP adresi, tada je napadač uvjerio Boba da je on Alice i Alice da je on Bob, postigavši ​​posredničku situaciju (Čovjek u Srednji).

Napadač će biti odgovoran za prosljeđivanje okvira svakom sustavu kako bi promet bio aktivan i izbjegli komunikacijske probleme u gornjem sloju. Osim toga, napadač može pregledati promet, pribaviti osjetljive podatke, manipulirati podacima itd.

Uključeni sustavi

Sustavi uporabe za ispitivanjeBob AA: BB: CC: 11: 22: 33 (192.168.0.1/24)
Alice AA: BB: CC: 22: 33: 44 (192.168.0.2/24)
Napadač AA: BB: CC: 88: 88: 88 (192.168.0.3/24)

Za napadački sustav će se koristiti GNU / Linux Ubuntu a za žrtve ću koristiti Windows XP SP3 ali operacijski sustav žrtve zapravo nije bitan. Prvo, za testiranje trovanja ARP -om mora se upotrijebiti alat koji omogućuje slanje ARP Spoofing poruka žrtvama. Za ovaj vodič koristit ću "dsniff", koji je u osnovi alat za njuškanje lozinki.

Među alatima uključenim u dsniff paket, pronađeno je "arpspoof”, Koji u osnovi izvodi ARP lažiranje nad označenom žrtvom.

Do instalirajte dsniff upišite terminal: 

 $ sudo apt-get install dsniff
Time ga instalirate.

Analiza prije napada


U početnom trenutku Bob ima unos u ARP predmemoriju koji označava da Aliceina IP adresa odgovara MAC AA: BB: CC: 22: 33: 44.

Za pregled tablice ARP predmemorije idite na:

  • Početak
  • Trčanje
  • cmd

U Windows terminalu upišite: 

 Veliki šator
Dobit ćete trenutni sadržaj Bobove ARP cache tablice:

Slično na Alisinom računalu:

Napad


U prvom slučaju, bit za prosljeđivanje u sustavu napadača: 
 # echo 1> / proc / sys / net / ipv4 / ip_forward
Na ovaj način se izbjegava gubitak paketa, Bob i Alice će moći komunicirati kao da se ništa nije dogodilo.

The naredba arpspoof koristi se na sljedeći način: 

 # arpspoof -i INTERFAZ_LAN -t IP_VICTIMA_POISONING IP_VICTIMA_SPOOFED
Odakle:

INTERFAZ_LANMrežna kartica koju ćemo koristiti za napad, MAC adresa tog sučelja bit će uzeta za ARP Spoofing poruke.

IP_VICTIMA_POISONINGTo je IP adresa žrtve čija je ARP predmemorijska tablica otrovana.

IP_VICTIMA_SPOOFEDIP adresa označava unos u žrtvinu ARP predmemoriju tablice s kojom će MAC napadača biti povezan.

Da biste uvjerili Alisu da Bob ima MAC AA: BB: CC: 88: 88: 88, u terminalu sustava Napadač pokrenite arpspoof na sljedeći način: 

 # arpspoof -i eth0 -t 192.168.0.2 192.168.0.1
ARP poruke odgovora bit će poslane Alice s izmijenjenim podacima:

Pokrenite JOŠ JEDAN terminal (prethodni se ne smije prekidati) i izvršite napad u suprotnom smjeru, kako biste uvjerili Boba da Alice ima MAC AA: BB: CC: 88: 88: 88, u terminalu sustava Napadač izvršite arpspoof na sljedeći način : 

 # arpspoof -i eth0 -t 192.168.0.1 192.168.0.2
ARP poruke odgovora bit će poslane Bobu s izmijenjenim podacima:

Od ovog trenutka napadač održava status posrednika (MitM) slanjem manipuliranih ARP poruka:

POVEĆAJTE

Ponavljanjem prvih koraka moguće je provjeriti kako su unosi ARB predmemorije Boba i Alice ažurirani pomoću MAC -a napadača:

Bobova ARP predmemorija:

Alisin ARP predmemorija:

Okviri koje Bob šalje Alisi isporučuju se napadaču, a napadač ih prosljeđuje Alisi. Na isti način, okviri koje je poslala Alice isporučuju se napadaču i on ih prosljeđuje Bobu.

POVEĆAJTE

Napadač bi mogao uhvatiti promet svojom mrežnom karticom u promiskuitetnom načinu rada i na primjer dobiti vjerodajnice za pristup web portalu koji ne koristi SSL.

Na primjer, u sljedećem hvatanju prometa napadač je dobio pristupne vjerodajnice za PHPMyAdmin portal: (Korisnički "korijen", lozinka "ad00")

POVEĆAJTE

Konačno, kako bi zatvorio napad bez prekida komunikacije, napadač zaustavlja terminal "arpspoof" pritiskom na tipke:

Ctrl + C

Alat će automatski poslati ARP upite svakoj žrtvi tako da se podaci ARP predmemorije ažuriraju ispravnim podacima.

Do tog trenutka napadač oslobađa komunikaciju i može se isključiti s mreže kako bi analizirao već ostvareni promet.

Neki antivirusni sustavi prate promjene unosa u ARP predmemoriji, čak i za GNU / Linux postoji alat pod nazivom “ARPWatch”To upozorava na promjenu odnosa ARP-IP u tablicama ARP predmemorije sustava.

U drugom članku moguće tehnike za sprječavanje MitM napadi temeljeni na ARP spoofingu i ARP trovanju.

Je li vam se svidio i pomogao ovaj vodič?Autor možete nagraditi pritiskom na ovaj gumb kako biste mu dali pozitivan bod

Vi ćete pomoći u razvoju web stranice, dijeljenje stranicu sa svojim prijateljima

wave wave wave wave wave

Popularni Postovi

wave
1
post-title
Kako gledati bilo koji YouTube video u VR -u s iPhonea i Androida
2
post-title
▷ Zaključani zaslon Windows 10 PC ✔️ Naredba
3
post-title
Kako aktivirati ili deaktivirati Xiaomi Mi A2 automatsko ispravljanje
4
post-title
Motorola Moto G4 Plus protiv Honor V8
5
post-title
Pretražujte u File Exploreru Windows 10 s naprednim filterima

Preporučeno

wave
- Sponsored Ad -

Izbor Urednika

wave
- Sponsored Ad -