ARP-huijausta

Kokeneet kirjoittajat eivät ole vielä tarkistaneet sivun nykyistä versiota, ja se voi poiketa merkittävästi 22. syyskuuta 2016 tarkistetusta versiosta . tarkastukset vaativat 66 muokkausta .

ARP-spoofing (ARP - myrkytys) on eräänlainen verkkohyökkäys, kuten MITM (English Man in the middle ), jota käytetään ARP -protokollaa käyttävissä verkoissa . Käytetään pääasiassa Ethernet - verkoissa . Hyökkäys perustuu ARP-protokollan puutteisiin.

Kun hajautetussa laskentaverkossa käytetään etähakualgoritmeja, tällaisessa verkossa on mahdollista suorittaa tyypillinen etähyökkäys "hajautetun laskentajärjestelmän väärä objekti". ARP-protokollan turvallisuuden analyysi osoittaa, että sieppaamalla ARP-lähetyspyynnön hyökkäävälle isännälle tietyssä verkkosegmentissä, voit lähettää väärän ARP-vastauksen, jossa ilmoittaa olevansa haluttu isäntä (esimerkiksi reititin ) ja ohjaa edelleen aktiivisesti väärin tiedotetun isännän verkkoliikennettä, toimien siihen "väärä RVS-objekti" -mallin mukaisesti.

ARP-protokolla

ARP (Address Resolution Protocol) on verkkoprotokolla, jota käytetään määrittämään verkon isännän MAC-osoite IP-osoitteesta, mikä mahdollistaa LAN- ja WAN-verkkokerroksen laitteiden välisen viestinnän.

Kuinka se toimii

Oletetaan, että meillä on kaksi Ethernet-LANia, jotka on yhdistetty reitittimellä, ja anna ensimmäisen lähiverkon isäntä (solmu A) lähettää paketin toisen lähiverkon isännälle (solmu B). IP-protokolla määrittää reitittimen rajapinnan (IP1) IP-osoitteen, johon paikallinen verkko 1 on liitetty, jossa sijaitsee solmu A. Nyt, jotta paketti kapseloidaan kehykseen ja välitetään reitittimen rajapintaan IP1:n kanssa. osoite, sinun on tiedettävä tämän liitännän MAC-osoite. Seuraavaksi ARP-protokollan työ alkaa. ARP-protokollalla on jokaisessa tietokoneen tai reitittimen verkkoliitännässä oma ARP-taulukko, joka tallentaa verkkolaitteiden IP-osoitteiden ja MAC-osoitteiden välisen vastaavuuden. Olkoon kaikki ARP-taulukot ensin tyhjiä. Edelleen:

  1. IP-protokolla kysyy ARP-protokollalta liitännän MAC-osoitetta osoitteella IP1.
  2. ARP tarkistaa ARP-taulukkonsa eikä löydä MAC-osoitetta, joka vastaa IP1:tä
  3. Sitten ARP-protokolla generoi ARP-pyynnön (pyynnön tarkoitus on selvittää rajapinnan MAC-osoite sen IP-osoitteen perusteella), laittaa sen Ethernet-kehykseen ja lähettää tämän kehyksen lähiverkkoon 1.
  4. Jokainen LAN 1 -liitäntä vastaanottaa ARP-pyynnön ja välittää sen omalle ARP-protokollalleen.
  5. Jos liitännän ARP-protokolla löytää vastaavuuden rajapinnan IP-osoitteen ja IP1:n välillä, ARP luo ARP-vastauksen (tässä tapauksessa reitittimen ARP), joka lähetetään pyynnön esittäneelle isännälle. ARP-vastaus sisältää sen liitännän MAC-osoitteen, johon kehys lähetetään (tässä tapauksessa LAN 1 -verkkoon liitetty reititinliitäntä).
  6. Seuraavaksi solmu A lähettää kehyksen, jossa on kapseloitu paketti reitittimen vastaavalle rajapinnalle.

ARP-haavoittuvuudet

ARP-protokolla on haavoittuvainen - se ei todenna ARP-pyyntöjä ja ARP-vastauksia. Ja koska tietokoneiden verkkoliitännät tukevat spontaania ARP:tä (ARP-vastaus lähetetään laiteliittymään tarpeettomasti), niin juuri tässä tapauksessa ARP-huijaushyökkäys on mahdollinen.

ARP-huijaushyökkäys

Kuvaus hyökkäyksestä

  1. Kaksi tietokonetta (solmua) M ja N paikallisessa Ethernet -verkossa vaihtavat viestejä. Hyökkääjä X , joka on samassa verkossa , haluaa siepata viestejä näiden solmujen välillä. Ennen kuin ARP-huijaushyökkäys toteutetaan solmun M verkkoliittymään , ARP-taulukko sisältää solmun N IP- ja MAC-osoitteet . Myös solmun N verkkorajapinnassa ARP-taulukko sisältää solmun M IP- ja MAC-osoitteet .
  2. ARP-huijaushyökkäyksen aikana solmu X (hyökkääjä) lähettää kaksi ARP-vastausta (ilman pyyntöä) solmulle M ja solmulle N. ARP-vastaus isännälle M sisältää IP-osoitteen N ja MAC- osoitteen X. ARP-vastaus solmulle N sisältää IP-osoitteen M ja MAC- osoitteen X.
  3. Koska tietokoneet M ja N tukevat spontaania ARP:tä, ARP-vastauksen saatuaan ne muuttavat ARP-taulukkojaan, ja nyt ARP-taulukko M sisältää IP-osoitteeseen N liittyvän MAC-osoitteen X ja ARP-taulukko N ​​sisältää MAC-osoitteen X sidotun . IP- osoitteeseen M.
  4. Siten ARP-huijaushyökkäys on tehty, ja nyt kaikki M :n ja N :n väliset paketit (liikenne) kulkevat X :n kautta . Esimerkiksi jos M haluaa lähettää paketin tietokoneelle N , niin M tutkii ARP-taulukkoaan, löytää merkinnän isäntäkoneen N IP-osoitteella, valitsee sieltä MAC-osoitteen (ja isäntä X :n MAC-osoite on jo olemassa ) ja lähettää paketin. Paketti saapuu rajapintaan X , se jäsentää sen ja lähettää sitten edelleen solmuun N.

ARP-huijaustyökalut

[yksi]

ARP-huijauksen havaitseminen ja esto

Ohjelmat ArpON, arpwatch, BitCometAntiARP

Nämä ohjelmat valvovat ARP:n toimintaa tietyillä liitännöillä. Voi havaita ARP-huijaushyökkäyksen, mutta ei voi estää sitä. Hyökkäyksen estämiseksi tarvitaan verkonvalvojan väliintuloa.

VLAN- organisaatio

Jos paikallinen verkko on jaettu useisiin VLAN-verkkoihin, ARP-huijaushyökkäys voidaan soveltaa vain samassa VLAN-verkossa oleviin tietokoneisiin. Ihanteellinen tilanne turvallisuuden kannalta on, että samassa VLAN-verkossa on vain yksi tietokone ja reititin. ARP-huijaushyökkäys tällaiseen segmenttiin ei ole mahdollista.

Staattisen ARP:n käyttö

Voit välttää ARP-huijaushyökkäyksen asettamalla ARP-taulukon manuaalisesti. Tällöin hyökkääjä ei voi päivittää ARP-taulukoita lähettämällä ARP-vastauksia tietokoneen liitäntöihin.

Salauksen käyttäminen

ARP-huijaushyökkäyksen (sekä minkä tahansa välimieshyökkäyksen) estämiseksi paikallista verkkoa vastaan ​​voidaan käyttää tietojen salausprotokollia suojaamaan lähetettyjä tietoja tunkeilijalta. Esimerkiksi protokollat, kuten PPPoE tai IPSec .

Katso myös

Muistiinpanot

  1. {Cite web|url= https://blog.dubkov.org/security/wi-fi/arp-spoofing-intercepter-ng/%7Ctitle=ARP-Spoofing with Intercepter-NG|author=|website=|date = |julkaisija=Nikolai Dubkov|accessdate=2016-04-06|archive-date=2019-07-21|arkiston kiertoasetukset camera hive-url= https://web.archive.org/web/20190721093920/http:/ / blog.dubkov.org/security/wi-fi/arp-spoofing-intercepter-ng/%7Cdeadlink=no}

Linkit