Wat is ARP-spoofing?De techniek ARP-spoofing Het bestaat in feite uit het misbruiken van een ontwerpkwetsbaarheid in het ARP-protocol en de implementatie van ARP-cache in de hosts.
Op de netwerklaag (ISO / OSI) worden de bron- en bestemmingssystemen goed gedefinieerd door hun IP-adressen, maar op het verbindingslaagniveau is het noodzakelijk om de MAC-adressen van elke host te bepalen.
ARP (RFC 826) is een adresvertalingsprotocol tussen twee verschillende adresseringsschema's, zoals het geval is tussen het IP-protocol en het MAC-protocol. In principe is zijn functie in een Ethernet-netwerk om het MAC-adres van een station te bepalen op basis van zijn IP-adres. De vertaling wordt uitgevoerd door een uitwisseling van vraagberichten en ARP-antwoorden.
Het basismechanisme werkt door een bericht van 28 bytes naar het uitzendadres te sturen en alleen de juiste host reageert rechtstreeks op de afzender van de vraag.
Om ervoor te zorgen dat de ARP-query alle apparaten bereikt, wordt het bestemmings-MAC-adres FF: FF: FF: FF: FF: FF (A.K.A. Broadcast MAC-adres) opgegeven. Wanneer een Switch een frame ontvangt dat bestemd is voor FF: FF: FF: FF: FF: FF, gaat hij verder met het doorsturen van dat frame via alle andere poorten (de bedoeling is dat alle hosts naar de vraag "luisteren").
VERGROTEN
Het verkregen antwoord wordt gebruikt om het bestemmings-MAC-adres te bepalen en zo kan de verzending beginnen.
VERGROTEN
De verkregen IP-MAC-relatie wordt tijdelijk opgeslagen in een tabel met ARP-vermeldingen (ARP-cache) op zo'n manier dat als Bob in de toekomst opnieuw gegevens naar Alice probeert te verzenden, hij alleen de ARP-cachetabel hoeft te raadplegen om bepaal de MAC van Alice, het is niet nodig om "opnieuw te vragen".
Afhankelijk van de implementatie van het besturingssysteem kunnen deze ARP-cachevermeldingen worden bijgewerkt op basis van hun laatste gebruik, de laatste keer dat het MAC-adres werd "geobserveerd", enzovoort. Ze kunnen ook statisch worden ingesteld, door handmatige configuratie.
In alle gevallen valideert het ARP-protocol de gegevens die zijn verkregen in het ARP-antwoord niet, dat wil zeggen, als Bob een ARP-antwoord ontvangt dat aangeeft dat een bepaalde MAC is gebonden aan het IP-adres van Alice, zal Bob de informatie "zonder aarzeling" accepteren. U mag ARP-antwoorden zonder voorafgaande vraag verzenden en dit worden "gratuite ARP" -berichten genoemd. Deze berichten worden gebruikt door de systemen die ze ontvangen om de informatie in de ARP-cachetabel bij te werken.
Een aanvaller kan opzettelijk ARP-antwoorden verzenden zonder voorafgaande vraag ("gratuitous arp"), waarin staat dat zijn eigen MAC overeenkomt met het IP-adres van Alice, en Bob zal deze antwoorden accepteren als "last-minute informatie", en doorgaan met het bijwerken van de invoer in de ARP cachetabel voor het IP-adres van Alice met de MAC van de aanvaller.
De ARP-spoofingtechniek bestaat uit het verzenden van onjuiste informatie over de MAC-IP-vertaling; Wanneer Bob deze valse informatie gebruikt om zijn ARP-cache bij te werken, treedt er een ARP-vergif.webptigingssituatie (ARP-vergif.webptiging) op.
Deze situatie zorgt ervoor dat de frames die Bob naar het IP-adres van Alice stuurt, door de switch worden afgeleverd bij de poort van de aanvaller (onthoud dat de switch naar MAC's kijkt).
Als de aanvaller nu dezelfde techniek op Alice toepast en Alice ervan overtuigt dat het MAC-adres van de aanvaller overeenkomt met het IP-adres van Bob, dan heeft de aanvaller Bob ervan overtuigd dat hij Alice is en Alice dat hij Bob is, waardoor een tussenliggende situatie ontstaat (Man in the Midden).
Het is de verantwoordelijkheid van de aanvaller om de frames naar elk systeem door te sturen om het verkeer actief te houden en communicatieproblemen in de bovenste laag te voorkomen. Bovendien kan de aanvaller het verkeer inspecteren, gevoelige gegevens verkrijgen, informatie manipuleren, enz.
Betrokken systemen
Gebruikssystemen voor testenBob AA: BB: CC: 11: 22: 33 (192.168.0.1/24)
Alice AA: BB: CC: 22: 33: 44 (192.168.0.2/24)
Aanvaller AA: BB: CC: 88: 88: 88 (192.168.0.3/24)
Voor het aanvallende systeem zal het worden gebruikt GNU / Linux Ubuntu en voor de slachtoffers zal ik Windows XP SP3 gebruiken, maar het besturingssysteem van het slachtoffer doet er niet echt toe. Ten eerste moet een tool worden gebruikt waarmee ARP-spoofingberichten naar slachtoffers kunnen worden verzonden om ARP-vergif.webptiging te testen. Voor deze tutorial zal ik "dsniff" gebruiken, wat in feite een toolkit is voor het snuiven van wachtwoorden.
Onder de tools die zijn opgenomen in de dsniff-pakket, het is gevonden "arpspoof”, die in feite ARP-spoofing uitvoert op het aangewezen slachtoffer.
Tot installeer dsniff typ een terminal in:
$ sudo apt-get install dsniffDaarmee installeer je het.
Analyse vóór de aanval
Op het eerste moment heeft Bob een vermelding in zijn ARP-cache die aangeeft dat het IP-adres van Alice overeenkomt met de MAC AA: BB: CC: 22: 33: 44.
Om de ARP-cachetabel te bekijken, gaat u naar:
- Begin
- Loop
- cmd
Schrijf in de Windows-terminal:
Grote tentU krijgt de huidige inhoud van Bob's ARP-cachetabel:
Zo ook op de pc van Alice:
Aanval
In eerste instantie is de doorstuurbit in het Attacker-systeem:
# echo 1> / proc / sys / net / ipv4 / ip_forwardOp deze manier wordt pakketverlies voorkomen en kunnen Bob en Alice communiceren alsof er niets is gebeurd.
De arpspoof commando wordt als volgt gebruikt:
# arpspoof -i INTERFAZ_LAN -t IP_VICTIMA_POISONING IP_VICTIMA_SPOOFEDWaar vandaan:
INTERFAZ_LANNetwerkkaart die we zullen gebruiken voor de aanval, het MAC-adres van die interface zal worden gebruikt voor de ARP-spoofing-berichten.
IP_VICTIMA_POISONINGHet is het IP-adres van het slachtoffer wiens ARP-cachetabel wordt vergif.webptigd.
IP_VICTIMA_SPOOFEDHet is het IP-adres dat de vermelding in de ARP-cachetabel van het slachtoffer aangeeft waaraan de MAC van de aanvaller zal worden gekoppeld.
Om Alice ervan te overtuigen dat Bob de MAC AA: BB: CC: 88: 88: 88 heeft, voert u in de terminal van het aanvallersysteem arpspoof als volgt uit:
# arpspoof -i eth0 -t 192.168.0.2 192.168.0.1ARP-antwoordberichten worden naar Alice gestuurd met gemanipuleerde informatie:
Start EEN ANDERE terminal (de vorige mag niet worden onderbroken) en voer de aanval in de tegenovergestelde richting uit, om Bob ervan te overtuigen dat Alice de MAC heeft AA: BB: CC: 88: 88: 88, voer in de aanvallersysteemterminal arpspoof als volgt uit :
# arpspoof -i eth0 -t 192.168.0.1 192.168.0.2ARP-antwoordberichten worden naar Bob gestuurd met gemanipuleerde informatie:
Vanaf dit punt behoudt de aanvaller de status van tussenpersoon (MitM) door gemanipuleerde ARP-berichten te verzenden:
VERGROTEN
Door de eerste stappen te herhalen, is het mogelijk om te controleren hoe de ARP-cachevermeldingen van Bob en Alice zijn bijgewerkt met de MAC van de aanvaller:
Bob's ARP-cache:
Alice's ARP-cache:
De frames die Bob naar Alice stuurt, worden afgeleverd bij de aanvaller en de aanvaller stuurt ze door naar Alice. Op dezelfde manier worden de frames die door Alice zijn verzonden, afgeleverd bij de aanvaller en hij stuurt ze door naar Bob.
VERGROTEN
De aanvaller kan verkeer met zijn netwerkkaart in promiscue modus vastleggen en bijvoorbeeld toegangsgegevens verkrijgen voor een webportaal dat geen SSL gebruikt.
Bij de volgende verkeersregistratie heeft een aanvaller bijvoorbeeld de toegangsgegevens tot een PHPMyAdmin-portal verkregen: (Gebruiker "root", wachtwoord "ad00")
VERGROTEN
Ten slotte, om de aanval af te sluiten zonder de communicatie te onderbreken, stopt de aanvaller de "arpspoof" -terminal door op de toetsen te drukken:
Ctrl + C
En de tool stuurt automatisch ARP-query's naar elk slachtoffer, zodat de ARP-cache-informatie wordt bijgewerkt met de juiste gegevens.
Tegen die tijd geeft de aanvaller de communicatie vrij en kan hij de verbinding met het netwerk verbreken om het reeds verkregen verkeer te analyseren.
Sommige antivirussystemen controleren de wijzigingen van vermeldingen in de ARP-cachetabel, zelfs voor GNU / Linux is er een tool genaamd "ARPWatch”Dat waarschuwt voor een verandering in de ARP-IP-relatie in de ARP-cachetabellen van het systeem.
In een ander artikel, mogelijke technieken om te voorkomen MitM-aanvallen op basis van ARP-spoofing en ARP-vergif.webptiging.
Vond je deze Tutorial leuk en heb je eraan geholpen?Je kunt de auteur belonen door op deze knop te drukken om hem een positief punt te geven