Narzędzia do wykorzystania w ataku ARP Spoofing
Istnieje wiele narzędzi, takich jak Arpspoof, Cain & Abel, Arpoison i Ettercap, które są dostępne do rozpoczęcia spoofingu ARP.
Oto zrzut ekranu pokazujący, w jaki sposób wspomniane narzędzia mogą wysyłać żądania ARP w sposób sporny:
Szczegóły ataku ARP Spoofing
Zobaczmy kilka zrzutów ekranu i zapoznajmy się krok po kroku z fałszowaniem ARP:
Krok 1 :
Oczekiwanie atakującego polega na uzyskaniu odpowiedzi ARP, aby mógł poznać adres MAC ofiary. Teraz, jeśli pójdziemy dalej na danym zrzucie ekranu, zobaczymy, że są 2 odpowiedzi ARP z adresów IP 192.168.56.100 i 192.168.56.101. Następnie ofiara [192.168.56.100 i 192.168.56.101] aktualizuje swoją pamięć podręczną ARP, ale nie wysyła zapytania zwrotnego. Tak więc wpis w pamięci podręcznej ARP nigdy nie zostanie poprawiony.
Numery pakietów żądań ARP to 137 i 138. Numery pakietów odpowiedzi ARP to 140 i 143.
W ten sposób atakujący znajduje lukę, przeprowadzając fałszowanie ARP. Nazywa się to „wejściem ataku”.
Krok 2:
Numery pakietów to 141, 142 i 144, 146.
Z poprzedniego działania atakujący ma teraz prawidłowe adresy MAC 192.168.56.100 i 192.168.56.101. Kolejnym krokiem atakującego jest wysłanie pakietu ICMP na adres IP ofiary. Na podanym zrzucie ekranu widzimy, że atakujący wysłał pakiet ICMP i otrzymał odpowiedź ICMP z adresów 192.168.56.100 i 192.168.56.101. Oznacza to, że oba adresy IP [192.168.56.100 i 192.168.56.101] są osiągalne.
Krok 3:
Widzimy, że jest ostatnie żądanie ARP dla adresu IP 192.168.56.101, aby potwierdzić, że host jest aktywny i ma ten sam adres MAC 08:00:27:dd:84:45.
Podany numer pakietu to 3358.
Krok 4:
Istnieje inne żądanie ICMP i odpowiedź z adresem IP 192.168.56.101. Numery pakietów to 3367 i 3368.
Stąd możemy sądzić, że atakujący atakuje ofiarę, której adres IP to 192.168.56.101.
Teraz każda informacja, która pochodzi z adresu IP 192.168.56.100 lub 192.168.56.101 do IP 192.168.56.1 dociera do atakującego na adres MAC, którego adres IP to 192.168.56.1.
Krok 5:
Gdy atakujący uzyska dostęp, próbuje ustanowić rzeczywiste połączenie. Na podanym zrzucie ekranu widzimy, że atakujący próbuje nawiązać połączenie HTTP. Wewnątrz protokołu HTTP znajduje się połączenie TCP, co oznacza, że powinien nastąpić uzgadnianie 3-WAY. Oto wymiana pakietów dla TCP:
SYN -> SYN+ACK -> ACK.
Z podanego zrzutu ekranu widać, że atakujący wielokrotnie ponawia próbę pobrania pakietu SYN na różnych portach. Numer ramki od 3460 do 3469. Numer pakietu 3469 SYN dotyczy portu 80, który jest HTTP.
Krok 6:
Pierwsze pomyślne uzgadnianie TCP jest pokazane przy następujących numerach pakietów z podanego zrzutu ekranu:
4488: Ramka SYN od atakującego
4489: ramka SYN+ACK z 192.168.56.101
4490: Ramka potwierdzenia od atakującego
Krok 7:
Po pomyślnym nawiązaniu połączenia TCP atakujący może ustanowić połączenie HTTP [numer ramki od 4491 do 4495], a następnie połączenie SSH [numer ramki od 4500 do 4503].
Teraz atak ma wystarczającą kontrolę, aby mógł wykonać następujące czynności:
- Atak polegający na przejęciu sesji
- Atak człowieka w środku [MITM]
- Atak typu „odmowa usługi” (DoS).
Jak zapobiec atakowi ARP Spoofing
Oto kilka zabezpieczeń, które można zastosować, aby zapobiec atakowi polegającemu na fałszowaniu ARP:
- Wykorzystanie wpisów „Static ARP”.
- Oprogramowanie do wykrywania i zapobiegania fałszowaniu ARP
- Filtrowanie pakietów
- VPN itp.
Moglibyśmy również zapobiec ponownemu wystąpieniu tego zjawiska, jeśli użyjemy HTTPS zamiast HTTP i użyjemy zabezpieczeń warstwy transportowej SSL (Secure Socket Layer). Dzieje się tak, aby cała komunikacja była szyfrowana.
Wniosek
Z tego artykułu uzyskaliśmy podstawowe informacje na temat ataku polegającego na spoofingu ARP i sposobu, w jaki może on uzyskać dostęp do dowolnego zasobu systemowego. Ponadto wiemy teraz, jak zatrzymać tego rodzaju atak. Te informacje pomagają administratorowi sieci lub dowolnemu użytkownikowi systemu chronić się przed atakiem typu ARP spoofing.