Simple Man in the Middle MitM (ARP Spoofing) útok

Simple Man in the Middle MitM (ARP Spoofing) útok

Co je ARP Spoofing?Technika Spoofing ARP V zásadě se jedná o využití zranitelnosti návrhu v protokolu ARP a implementaci mezipaměti ARP v hostitelích.

Na síťové vrstvě (ISO / OSI) jsou zdrojové a cílové systémy dobře definovány svými IP adresami, ale na úrovni vrstvy Link je nutné určit MAC adresy každého hostitele.

ARP (RFC 826) je protokol pro překlad adres mezi dvěma různými schématy adresování, jako je tomu mezi protokolem IP a protokolem MAC. Jeho funkcí v ethernetové síti je v zásadě určit MAC adresu stanice s danou IP adresou. Překlad se provádí výměnou zpráv dotazů a odpovědí ARP.

Základní mechanismus funguje tak, že na adresu všesměrového vysílání odešlete 28bajtovou zprávu a pouze správný hostitel odpovídá přímo odesílateli dotazu.

Aby dotaz ARP dosáhl na všechna zařízení, je určena cílová adresa MAC FF: FF: FF: FF: FF: FF (MAC adresa Broadcast MAC). Když přepínač přijme rámec určený pro FF: FF: FF: FF: FF: FF, pokračuje v přesměrování uvedeného rámce přes všechny ostatní porty (záměrem je, aby všichni hostitelé „poslouchali“ otázku).

ZVĚTŠIT

Získaná odpověď se používá k určení cílové adresy MAC, a tím může přenos začít.

ZVĚTŠIT

Získaný vztah IP-MAC bude dočasně uložen v tabulce záznamů ARP (mezipaměť ARP) takovým způsobem, že pokud se Bob pokusí v budoucnu znovu odeslat data Alice, nezbude mu než se podívat do tabulky mezipaměti ARP určit Alicinu MAC. Není třeba se „ptát znovu“.

V závislosti na implementaci operačního systému mohou být tyto položky mezipaměti ARP aktualizovány na základě jejich posledního použití, posledního „sledování“ adresy MAC atd. Lze je také nastavit staticky, ruční konfigurací.

Protokol ARP ve všech případech neověřuje data získaná v odpovědi ARP, to znamená, že pokud Bob obdrží odpověď ARP označující, že určitý MAC je vázán na IP Alice, Bob přijme informaci „bez váhání“. Je povoleno odesílat odpovědi ARP bez předchozí otázky a jsou nazývány „bezplatnými zprávami ARP“. Tyto zprávy budou systémy, které je obdrží, použity k aktualizaci informací v tabulce mezipaměti ARP.

Útočník může úmyslně odeslat odpovědi ARP bez předchozí otázky („bezdůvodné arp“) s tím, že jeho vlastní MAC odpovídá IP Alice, a Bob tyto odpovědi přijme jako „informace na poslední chvíli“ a pokračuje v aktualizaci záznamu v ARP tabulka mezipaměti pro IP Alice s MAC útočníka.

Technika ARP Spoofing spočívá v odesílání nesprávných informací týkajících se překladu MAC-IP; Když Bob použije tyto nepravdivé informace k aktualizaci své mezipaměti ARP, dojde k situaci otravy ARP (Otrava ARP).

Tato situace způsobí, že rámce, které Bob pošle na IP Alice, budou doručeny přepínačem do portu útočníka (pamatujte, že přepínač se dívá na MAC).

Pokud tedy útočník použije stejnou techniku ​​na Alice a přesvědčí Alice, že MAC adresa útočníka odpovídá IP adrese Boba, pak útočník přesvědčil Boba, že je Alice, a Alice, že je Bob, čímž dosáhl přechodné situace (Muž v Střední).

Útočník bude odpovědný za předávání rámců každému systému, aby byl provoz aktivní a aby se předešlo komunikačním problémům v horní vrstvě. Útočník navíc může kontrolovat provoz, získávat citlivá data, manipulovat s informacemi atd.

Zapojené systémy

Systémy použití pro testováníBob AA: BB: CC: 11: 22: 33 (192.168.0.1/24)
Alice AA: BB: CC: 22: 33: 44 (192.168.0.2/24)
Útočník AA: BB: CC: 88: 88: 88 (192.168.0.3/24)

Pro útočný systém bude použit GNU / Linux Ubuntu a pro oběti budu používat Windows XP SP3, ale na operačním systému oběti vlastně nezáleží. Nejprve je třeba k testování otravy ARP použít nástroj, který umožňuje zasílání zpráv ARP Spoofing obětem. Pro tento tutoriál použiji „dsniff“, což je v podstatě sada nástrojů pro očichávání hesel.

Mezi nástroji obsaženými v dsniff balíček"Našlo se"arpspoof”, Která v podstatě provádí ARP Spoofing na určené oběti.

Na nainstalujte dsniff zadejte terminál: 

 $ sudo apt-get install dsniff
Tím to nainstalujete.

Analýza před útokem


V počátečním okamžiku má Bob ve své mezipaměti ARP záznam, který naznačuje, že Aliceova IP adresa odpovídá MAC AA: BB: CC: 22: 33: 44.

Chcete -li zobrazit tabulku mezipaměti ARP, přejděte na:

  • Start
  • Běh
  • cmd

Do terminálu Windows napište: 

 Velký stan
Získáte aktuální obsah Bobovy mezipaměti ARP:

Podobně na Alice's PC:

Záchvat


V prvním případě bit pro přesměrování v systému Attacker: 
 # echo 1> / proc / sys / net / ipv4 / ip_forward
Tímto způsobem se zabrání ztrátě paketů, Bob a Alice budou moci komunikovat, jako by se nic nestalo.

The příkaz arpspoof se používá následovně: 

 # arpspoof -i INTERFAZ_LAN -t IP_VICTIMA_POISONING IP_VICTIMA_SPOOFED
Odkud:

INTERFAZ_LANSíťová karta, kterou použijeme pro útok, MAC adresa tohoto rozhraní bude převzata pro zprávy ARP Spoofing.

IP_VICTIMA_POISONINGJe to IP adresa oběti, jejíž tabulka mezipaměti ARP je otrávena.

IP_VICTIMA_SPOOFEDJe to adresa IP, která označuje záznam v tabulce mezipaměti ARP oběti, ke které bude přiřazena MAC útočníka.

Chcete -li přesvědčit Alice, že Bob má MAC AA: BB: CC: 88: 88: 88, spusťte v terminálu systému Attacker arpspoof následujícím způsobem: 

 # arpspoof -i eth0 -t 192.168.0.2 192.168.0.1
Zprávy s odpovědí ARP budou odeslány Alice s manipulovanými informacemi:

Spusťte DALŠÍ terminál (předchozí by neměl být přerušen) a proveďte útok opačným směrem, abyste přesvědčili Boba, že Alice má MAC AA: BB: CC: 88: 88: 88, v terminálu systému Attacker spusťte arpspoof následovně : 

 # arpspoof -i eth0 -t 192.168.0.1 192.168.0.2
Zprávy s odpovědí ARP budou odeslány Bobovi s manipulovanými informacemi:

Od tohoto okamžiku Attacker udržuje stav zprostředkovatele (MitM) odesíláním manipulovaných zpráv ARP:

ZVĚTŠIT

Opakováním prvních kroků je možné zkontrolovat, jak byly záznamy mezipaměti ARP Boba a Alice aktualizovány pomocí MAC útočníka:

Bobova mezipaměť ARP:

Alice's ARP cache:

Rámy, které Bob pošle Alice, jsou doručeny útočníkovi a útočník je přepošle Alice. Stejným způsobem jsou rámce zaslané Alice doručeny útočníkovi a ten je přepošle Bobovi.

ZVĚTŠIT

Útočník mohl pomocí své síťové karty v promiskuitním režimu zachytit provoz a získat například přístupové údaje k webovému portálu, který nepoužívá SSL.

Například v následujícím zachycení provozu útočník získal přístupová pověření na portál PHPMyAdmin: (uživatel „root“, heslo „ad00“)

ZVĚTŠIT

Nakonec, aby útočník ukončil útok bez přerušení komunikace, zastaví terminál „arpspoof“ stisknutím kláves:

Ctrl + C.

A nástroj automaticky odešle dotazy ARP každé oběti, aby byly informace o mezipaměti ARP aktualizovány o správná data.

Do této doby Attacker uvolní komunikaci a může se odpojit od sítě a analyzovat již získaný provoz.

Některé antivirové systémy sledují změny položek v tabulce mezipaměti ARP, dokonce i pro GNU / Linux existuje nástroj s názvem „ARPWatch”To upozorňuje na změnu ve vztahu ARP-IP v tabulkách mezipaměti ARP systému.

V jiném článku možné techniky, kterým zabránit Útoky MitM založené na spoření ARP a otravě ARP.

Líbil se vám tento návod a pomohl mu?Autora můžete odměnit stisknutím tohoto tlačítka, čímž mu dáte kladný bod

Vám pomůže rozvoji místa, sdílet stránku s přáteli

wave wave wave wave wave

Populární Příspěvky

wave
1
post-title
Jak vložit zvuk na klávesnici Xiaomi Redmi 6
2
post-title
10 základních vlastností ideálního komunitního manažera
3
post-title
Jak obnovit nebo obnovit přihlašovací heslo macOS
4
post-title
Modifikátory viditelnosti v Javě
5
post-title
Migrujte virtuální počítač z VirtualBoxu na Hyper-V Windows 10

Doporučená

wave
- Sponsored Ad -

Redakce Choice

wave
- Sponsored Ad -