Įrankiai, naudojami ARP klastojimo atakoje
Yra daug įrankių, tokių kaip „Arpspoof“, „Cain & Abel“, „Arpoison“ ir „Ettercap“, kurie gali pradėti ARP klastojimą.
Čia yra ekrano kopija, rodanti, kaip minėti įrankiai gali ginčytinai išsiųsti ARP užklausą:
Išsamios ARP klaidinimo atakos detalės
Pažiūrėkime keletą ekrano kopijų ir žingsnis po žingsnio suprasime ARP klastojimą:
1 žingsnis :
Užpuolikas tikisi gauti ARP atsakymą, kad jis galėtų sužinoti aukos MAC adresą. Dabar, jei eisime toliau pateiktoje ekrano kopijoje, pamatysime, kad yra 2 ARP atsakymai iš 192.168.56.100 ir 192.168.56.101 IP adresų. Po to auka [192.168.56.100 ir 192.168.56.101] atnaujina savo ARP talpyklą, bet nepateikė užklausos. Taigi, įrašas ARP talpykloje niekada nebus taisomas.
ARP užklausų paketų numeriai yra 137 ir 138. ARP atsako paketų numeriai yra 140 ir 143.
Taigi, užpuolikas randa pažeidžiamumą atlikdamas ARP klastojimą. Tai vadinama „puolimo įėjimu“.
2 žingsnis:
Paketų numeriai yra 141, 142 ir 144, 146.
Nuo ankstesnės veiklos užpuolikas dabar turi galiojančius MAC adresus 192.168.56.100 ir 192.168.56.101. Kitas užpuoliko veiksmas yra išsiųsti ICMP paketą aukos IP adresu. Ir iš pateiktos ekrano kopijos matome, kad užpuolikas išsiuntė ICMP paketą ir gavo ICMP atsakymą iš 192.168.56.100 ir 192.168.56.101. Tai reiškia, kad abu IP adresai [192.168.56.100 ir 192.168.56.101] yra pasiekiami.
3 veiksmas:
Matome, kad yra paskutinė ARP užklausa dėl 192.168.56.101 IP adreso, patvirtinanti, kad pagrindinis kompiuteris yra aktyvus ir turi tą patį MAC adresą 08:00:27:dd:84:45.
Pateiktas paketo numeris yra 3358.
4 veiksmas:
Yra dar viena ICMP užklausa ir atsakymas su 192.168.56.101 IP adresu. Paketų numeriai yra 3367 ir 3368.
Iš čia galime galvoti, kad užpuolikas taikosi į auką, kurios IP adresas yra 192.168.56.101.
Dabar bet kokia informacija, gaunama iš IP adreso 192.168.56.100 arba 192.168.56.101 iki IP 192.168.56.1, pasiekia MAC adreso užpuoliką, kurio IP adresas yra 192.168.56.1.
5 veiksmas:
Kai užpuolikas turi prieigą, jis bando užmegzti tikrą ryšį. Iš pateiktos ekrano kopijos matome, kad užpuolikas bando užmegzti HTTP ryšį. HTTP viduje yra TCP ryšys, o tai reiškia, kad turėtų būti 3 krypčių rankos paspaudimas. Tai yra TCP paketų mainai:
SYN -> SYN+ACK -> ACK.
Iš pateiktos ekrano kopijos matome, kad užpuolikas kelis kartus bando naudoti SYN paketą skirtinguose prievaduose. Kadro numeris nuo 3460 iki 3469. Paketo numeris 3469 SYN skirtas 80 prievadui, kuris yra HTTP.
6 veiksmas:
Pirmasis sėkmingas TCP rankos paspaudimas rodomas šiais paketų numeriais iš pateiktos ekrano kopijos:
4488: SYN kadras iš užpuoliko
4489: SYN+ACK kadras nuo 192.168.56.101
4490: ACK rėmelis iš puolėjo
7 veiksmas:
Sėkmingai užmezgus TCP ryšį, užpuolikas gali užmegzti HTTP ryšį [kadro numeris nuo 4491 iki 4495], o po to – SSH ryšį [kadro numeris nuo 4500 iki 4503].
Dabar ataka turi pakankamai kontrolės, kad galėtų atlikti šiuos veiksmus:
- Sesijos užgrobimo ataka
- Žmogus viduryje ataka [MITM]
- Paslaugų atsisakymo (DoS) ataka
Kaip užkirsti kelią ARP klastojimo atakai
Štai keletas apsaugos priemonių, kurių galima imtis siekiant užkirsti kelią ARP klastojimo atakai:
- „Statinio ARP“ įrašų naudojimas
- ARP sukčiavimo aptikimo ir prevencijos programinė įranga
- Paketų filtravimas
- VPN ir kt.
Be to, galėtume sustabdyti tai, kad tai nepasikartotų, jei naudotume HTTPS vietoj HTTP ir naudotume SSL (Secure Socket layer) transportavimo lygmens apsaugą. Taip yra, kad visi ryšiai būtų užšifruoti.
Išvada
Iš šio straipsnio gavome pagrindinę idėją apie ARP klaidinimo ataką ir kaip ji gali pasiekti bet kurį sistemos išteklį. Be to, dabar žinome, kaip sustabdyti tokio pobūdžio išpuolį. Ši informacija padeda tinklo administratoriui arba bet kuriam sistemos vartotojui apsisaugoti nuo ARP klastojimo atakos.