Εργαλεία για χρήση σε επίθεση πλαστογράφησης ARP
Υπάρχουν πολλά εργαλεία όπως τα Arpspoof, Cain & Abel, Arpoison και Ettercap που είναι διαθέσιμα για την έναρξη της πλαστογράφησης ARP.
Ακολουθεί το στιγμιότυπο οθόνης για να δείξει πώς τα αναφερόμενα εργαλεία μπορούν να στείλουν το αίτημα ARP αμφιλεγόμενα:
ARP Spoofing Attack με λεπτομέρειες
Ας δούμε μερικά στιγμιότυπα οθόνης και ας κατανοήσουμε την πλαστογράφηση ARP βήμα προς βήμα:
Βήμα 1 :
Η προσδοκία του εισβολέα είναι να λάβει την απάντηση ARP ώστε να μπορεί να μάθει τη διεύθυνση MAC του θύματος. Τώρα, αν προχωρήσουμε περισσότερο στο δεδομένο στιγμιότυπο οθόνης, μπορούμε να δούμε ότι υπάρχουν 2 απαντήσεις ARP από τις διευθύνσεις IP 192.168.56.100 και 192.168.56.101. Μετά από αυτό, το θύμα [192.168.56.100 και 192.168.56.101] ενημερώνει την προσωρινή μνήμη ARP του αλλά δεν ζήτησε πίσω. Έτσι, η καταχώρηση στην προσωρινή μνήμη ARP δεν διορθώνεται ποτέ.
Οι αριθμοί πακέτων αιτήματος ARP είναι 137 και 138. Οι αριθμοί πακέτων απόκρισης ARP είναι 140 και 143.
Έτσι, ο εισβολέας βρίσκει την ευπάθεια κάνοντας το ARP spoofing. Αυτό ονομάζεται «είσοδος επίθεσης».
Βήμα 2:
Οι αριθμοί πακέτων είναι 141, 142 και 144, 146.
Από την προηγούμενη δραστηριότητα, ο εισβολέας έχει πλέον έγκυρες διευθύνσεις MAC 192.168.56.100 και 192.168.56.101. Το επόμενο βήμα για τον εισβολέα είναι να στείλει το πακέτο ICMP στη διεύθυνση IP του θύματος. Και μπορούμε να δούμε από το δεδομένο στιγμιότυπο οθόνης ότι ο εισβολέας έστειλε ένα πακέτο ICMP και έλαβε μια απάντηση ICMP από τις 192.168.56.100 και 192.168.56.101. Αυτό σημαίνει ότι και οι δύο διευθύνσεις IP [192.168.56.100 και 192.168.56.101] είναι προσβάσιμες.
Βήμα 3:
Μπορούμε να δούμε ότι υπάρχει το τελευταίο αίτημα ARP για τη διεύθυνση IP 192.168.56.101 για επιβεβαίωση ότι ο κεντρικός υπολογιστής είναι ενεργός και ότι έχει την ίδια διεύθυνση MAC 08:00:27:dd:84:45.
Ο αριθμός του δεδομένου πακέτου είναι 3358.
Βήμα 4:
Υπάρχει ένα άλλο αίτημα και απάντηση ICMP με τη διεύθυνση IP 192.168.56.101. Οι αριθμοί πακέτων είναι 3367 και 3368.
Μπορούμε να σκεφτούμε από εδώ ότι ο εισβολέας στοχεύει το θύμα του οποίου η διεύθυνση IP είναι 192.168.56.101.
Τώρα, οποιαδήποτε πληροφορία προέρχεται από τη διεύθυνση IP του 192.168.56.100 ή 192.168.56.101 έως το IP 192.168.56.1 φτάνει στον εισβολέα της διεύθυνσης MAC του οποίου η διεύθυνση IP είναι 192.168.56.1.
Βήμα 5:
Μόλις ο εισβολέας έχει πρόσβαση, προσπαθεί να δημιουργήσει μια πραγματική σύνδεση. Από το δεδομένο στιγμιότυπο οθόνης, μπορούμε να δούμε ότι η εγκατάσταση σύνδεσης HTTP δοκιμάζεται από τον εισβολέα. Υπάρχει μια σύνδεση TCP μέσα στο HTTP που σημαίνει ότι θα πρέπει να υπάρχει χειραψία 3 ΤΡΟΠΩΝ. Αυτές είναι οι ανταλλαγές πακέτων για το TCP:
SYN -> SYN+ACK -> ACK.
Από το δεδομένο στιγμιότυπο οθόνης, μπορούμε να δούμε ότι ο εισβολέας δοκιμάζει ξανά το πακέτο SYN πολλές φορές σε διαφορετικές θύρες. Ο αριθμός πλαισίου 3460 έως 3469. Ο αριθμός πακέτου 3469 SYN είναι για τη θύρα 80 που είναι HTTP.
Βήμα 6:
Η πρώτη επιτυχημένη χειραψία TCP εμφανίζεται στους ακόλουθους αριθμούς πακέτων από το δεδομένο στιγμιότυπο οθόνης:
4488: πλαίσιο SYN από εισβολέα
4489: SYN+ACK πλαίσιο από 192.168.56.101
4490: ACK πλαίσιο από εισβολέα
Βήμα 7:
Μόλις η σύνδεση TCP είναι επιτυχής, ο εισβολέας μπορεί να δημιουργήσει τη σύνδεση HTTP [αριθμός πλαισίου 4491 έως 4495] ακολουθούμενη από τη σύνδεση SSH [αριθμός πλαισίου 4500 έως 4503].
Τώρα, η επίθεση έχει αρκετό έλεγχο ώστε να μπορεί να κάνει τα εξής:
- Επίθεση πειρατείας συνεδρίας
- Άνθρωπος στη μέση επίθεση [MITM]
- Επίθεση άρνησης υπηρεσίας (DoS).
Πώς να αποτρέψετε την επίθεση πλαστογράφησης ARP
Ακολουθούν ορισμένες προστασίες που μπορείτε να λάβετε για να αποτρέψετε την επίθεση πλαστογράφησης ARP:
- Χρήση καταχωρήσεων “Static ARP”.
- Λογισμικό ανίχνευσης και πρόληψης πλαστογράφησης ARP
- Φιλτράρισμα πακέτων
- VPN κ.λπ.
Επίσης, θα μπορούσαμε να σταματήσουμε αυτό να συμβεί ξανά εάν χρησιμοποιήσουμε HTTPS αντί για HTTP και χρησιμοποιήσουμε την ασφάλεια του επιπέδου μεταφοράς SSL (Secure Socket layer). Αυτό γίνεται ώστε όλες οι επικοινωνίες να είναι κρυπτογραφημένες.
συμπέρασμα
Από αυτό το άρθρο, πήραμε μια βασική ιδέα για την επίθεση πλαστογράφησης ARP και πώς μπορεί να έχει πρόσβαση στον πόρο οποιουδήποτε συστήματος. Επίσης, τώρα ξέρουμε πώς να σταματήσουμε αυτού του είδους την επίθεση. Αυτές οι πληροφορίες βοηθούν τον διαχειριστή του δικτύου ή οποιονδήποτε χρήστη του συστήματος να προστατεύεται από επίθεση πλαστογράφησης ARP.