Paprastas žmogus viduryje MitM (ARP Spoofing) ataka

Paprastas žmogus viduryje MitM (ARP Spoofing) ataka

Kas yra ARP apgaulė?Technika ARP apgaulė Tai iš esmės susideda iš dizaino pažeidžiamumo išnaudojimo ARP protokole ir ARP talpyklos įdiegimo pagrindiniuose kompiuteriuose.

Tinklo sluoksnyje (ISO / OSI) šaltinio ir paskirties sistemos yra gerai apibrėžtos pagal jų IP adresus, tačiau susiejimo sluoksnio lygiu būtina nustatyti kiekvieno pagrindinio kompiuterio MAC adresus.

ARP (RFC 826) yra adreso vertimo protokolas tarp dviejų skirtingų adresavimo schemų, kaip yra tarp IP protokolo ir MAC protokolo. Iš esmės jo funkcija eterneto tinkle yra nustatyti stoties MAC adresą, atsižvelgiant į jos IP adresą. Vertimas atliekamas keičiantis užklausų pranešimais ir ARP atsakymais.

Pagrindinis mechanizmas veikia siunčiant 28 baitų pranešimą į transliacijos adresą ir tik teisingas kompiuteris tiesiogiai atsako į užklausos siuntėją.

Kad ARP užklausa pasiektų visus įrenginius, nurodomas paskirties MAC adresas FF: FF: FF: FF: FF: FF (A.K.A. Transliacijos MAC adresas). Kai jungiklis gauna kadrą, skirtą FF: FF: FF: FF: FF: FF, jis perduoda minėtą kadrą per visus kitus prievadus (siekiama, kad visi kompiuteriai „klausytų“ klausimo).

DIDELIS

Gautas atsakymas naudojamas paskirties MAC adresui nustatyti, todėl perdavimas gali prasidėti.

DIDELIS

Gauti IP ir MAC santykiai bus laikinai saugomi ARP įrašų lentelėje (ARP talpykla) taip, kad jei Bobas ateityje vėl bandys siųsti duomenis Alisai, jam tereikia peržiūrėti ARP talpyklos lentelę nustatyti Alisos MAC. nereikia „dar kartą paklausti“.

Priklausomai nuo operacinės sistemos diegimo, šie ARP talpyklos įrašai gali būti atnaujinami atsižvelgiant į paskutinį jų naudojimą, paskutinį kartą „stebint“ MAC adresą ir pan. Jie taip pat gali būti statiškai nustatomi rankiniu būdu.

Visais atvejais ARP protokolas nepatvirtina ARP atsakyme gautų duomenų, tai yra, jei Bobas gauna ARP atsakymą, nurodantį, kad tam tikras MAC yra susietas su Alisos IP, Bobas „nedvejodamas“ priims informaciją. Jums leidžiama siųsti ARP atsakymus be išankstinio klausimo ir jie vadinami „neatlygintinais ARP“ pranešimais. Šias žinutes naudos sistemos, kurios jas gauna, kad atnaujintų informaciją ARP talpyklos lentelėje.

Užpuolikas gali sąmoningai siųsti ARP atsakymus be išankstinio klausimo („neatlygintinas arp“), nurodydamas, kad jo paties MAC atitinka Alisos IP, o Bobas priims šiuos atsakymus kaip „paskutinės minutės informaciją“ ir toliau atnaujins įrašą ARP talpyklos lentelę, skirtą Alisos IP su užpuoliko MAC.

ARP apgaulės metodą sudaro neteisingos informacijos apie MAC-IP vertimą siuntimas; Kai Bobas naudoja šią klaidingą informaciją savo ARP talpyklai atnaujinti, atsiranda apsinuodijimo ARP (ARP apsinuodijimo) situacija.

Dėl šios situacijos rėmeliai, kuriuos Bobas siunčia į Alisos IP, bus perduodami jungikliu į užpuoliko prievadą (atminkite, kad jungiklis žiūri į MAC).

Dabar, jei užpuolikas taiko tą pačią techniką ir Alisai, įtikindamas Alisą, kad užpuoliko MAC adresas atitinka Bobo IP adresą, tada užpuolikas įtikino Bobą, kad jis yra Alisa, ir Alisa, kad jis yra Bobas, ir pasiekia tarpinę situaciją (Žmogus Vidurys).

Užpuolikas bus atsakingas už kadrų persiuntimą kiekvienai sistemai, kad srautas būtų aktyvus ir išvengtų ryšio problemų viršutiniame sluoksnyje. Be to, užpuolikas gali tikrinti srautą, gauti neskelbtinų duomenų, manipuliuoti informacija ir pan.

Dalyvaujančios sistemos

Bandymų naudojimo sistemosBobas AA: BB: CC: 11: 22: 33 (192.168.0.1/24)
Alisa AA: BB: CC: 22: 33: 44 (192.168.0.2/24)
Puolėjas AA: BB: CC: 88: 88: 88 (192.168.0.3/24)

Ji bus naudojama puolimo sistemai GNU / Linux Ubuntu ir aukoms naudosiu „Windows XP SP3“, tačiau aukos operacinė sistema tikrai nesvarbi. Pirma, norint patikrinti ARP apsinuodijimą, turi būti naudojama priemonė, leidžianti siųsti ARP sukčiavimo pranešimus aukoms. Šiai pamokai aš naudosiu „dsniff“, kuris iš esmės yra įrankių rinkinys, skirtas uostyti slaptažodį.

Tarp įrankių, įtrauktų į dsniff paketas, jis rastas "arpspoof“, Kuris iš esmės atlieka ARP apgaulę nurodytai aukai.

Į įdiegti dsniff įveskite terminale: 

 $ sudo apt-get install dsniff
Su tuo jūs jį įdiegiate.

Prieš išpuolį analizė


Iš pradžių Bobas savo ARP talpykloje turi įrašą, rodantį, kad Alisos IP adresas atitinka MAC AA: BB: CC: 22: 33: 44.

Norėdami peržiūrėti ARP talpyklos lentelę, eikite į:

  • Pradėti
  • Bėgti
  • cmd

„Windows“ terminale parašykite: 

 Didelė palapinė
Gausite dabartinį Bobo ARP talpyklos lentelės turinį:

Panašiai ir Alisos kompiuteryje:

Puolimas


Visų pirma, persiuntimo bitukas „Attacker“ sistemoje: 
 # echo 1> / proc / sys / net / ipv4 / ip_forward
Taip išvengiama paketų praradimo, Bobas ir Alisa galės bendrauti taip, lyg nieko nebūtų nutikę.

The arpspoof komanda naudojamas taip: 

 # arpspoof -i INTERFAZ_LAN -t IP_VICTIMA_POISONING IP_VICTIMA_SPOOFED
Iš kur:

INTERFAZ_LANTinklo kortelė, kurią naudosime atakai, tos sąsajos MAC adresas bus paimtas ARP apgaulės pranešimams.

IP_VICTIMA_POISONINGTai aukos, kurios ARP talpyklos lentelė yra apsinuodijusi, IP adresas.

IP_VICTIMA_SPOOFEDBūtent IP adresas nurodo įrašą aukos ARP talpyklos lentelėje, su kuriuo bus susietas užpuoliko MAC.

Norėdami įtikinti Alisą, kad Bobas turi MAC AA: BB: CC: 88: 88: 88, „Attacker“ sistemos terminale paleiskite arpspoof taip: 

 # arpspoof -i eth0 -t 192.168.0.2 192.168.0.1
ARP atsakymo žinutės bus išsiųstos Alisai su manipuliuojama informacija:

Paleiskite KITĄ terminalą (ankstesnio nereikėtų nutraukti) ir vykdykite ataką priešinga kryptimi, kad įtikintumėte Bobą, jog Alisa turi MAC AA: BB: CC: 88: 88: 88, atakuojančios sistemos terminale atlikite arpspoof taip: : 

 # arpspoof -i eth0 -t 192.168.0.1 192.168.0.2
ARP atsakymo pranešimai bus išsiųsti Bobui su manipuliuota informacija:

Nuo šio momento užpuolikas išlaiko tarpininko (MitM) statusą siunčiant manipuliuotus ARP pranešimus:

DIDELIS

Kartojant pirmuosius veiksmus galima patikrinti, kaip Bobo ir Alisos ARP talpyklos įrašai buvo atnaujinti naudojant užpuoliko MAC:

Bobo ARP talpykla:

Alisos ARP talpykla:

Rėmeliai, kuriuos Bobas siunčia Alisai, pateikiami užpuolikui, o užpuolikas juos perduoda Alisai. Lygiai taip pat Alisos siunčiami kadrai perduodami užpuolikui, o jis juos persiunčia Bobui.

DIDELIS

Užpuolikas galėjo užfiksuoti srautą naudodamas savo tinklo plokštę keistu režimu ir, pavyzdžiui, gauti prieigos duomenis prie interneto portalo, kuris nenaudoja SSL.

Pavyzdžiui, sekančiame srauto fiksavime užpuolikas gavo prieigos duomenis prie PHPMyAdmin portalo: (naudotojas „root“, slaptažodis „ad00“)

DIDELIS

Galiausiai, norėdamas uždaryti ataką nenutraukdamas ryšio, užpuolikas sustabdo „arpspoof“ terminalą paspausdamas klavišus:

Ctrl + C

Ir įrankis automatiškai siųs ARP užklausas kiekvienai aukai, kad ARP talpyklos informacija būtų atnaujinta teisingais duomenimis.

Iki to laiko užpuolikas išjungia ryšius ir gali atsijungti nuo tinklo, kad išanalizuotų jau gautą srautą.

Kai kurios antivirusinės sistemos stebi įrašų pakeitimus ARP talpyklos lentelėje, net ir GNU / Linux yra įrankis, vadinamas „ARPWatch“Tai įspėja apie ARP ir IP santykio pasikeitimą sistemos ARP talpyklos lentelėse.

Kitame straipsnyje - galimi būdai užkirsti kelią „MitM“ atakos, pagrįstos ARP sukčiavimu ir apsinuodijimu ARP.

Ar jums patiko ir padėjo ši pamoka?Galite apdovanoti autorių paspausdami šį mygtuką, kad suteiktumėte jam teigiamą tašką

Padėsite svetainės plėtrą, dalintis puslapį su draugais

wave wave wave wave wave

Populiarios Temos

wave
1
post-title
Kaip padaryti atsarginę kopiją „LG G6“
2
post-title
Kaip įjungti ir išjungti GPS „Huawei Mate 20 Lite“
3
post-title
Kaip įjungti arba išjungti „Samsung Galaxy M10“ vietą
4
post-title
Išjunkite gimtadienio ar kalendoriaus pranešimus „Windows 10“
5
post-title
FRE NEMOKAMAI atidarykite ZIP RAR 7Z failus, skirtus „Windows 10“

Rekomenduojama

wave
- Sponsored Ad -

Redaktoriaus Pasirinkimas

wave
- Sponsored Ad -