Ethisches Hacken - ARP-Vergiftung
Das Address Resolution Protocol (ARP) ist ein zustandsloses Protokoll, das zum Auflösen von IP-Adressen in Maschinen-MAC-Adressen verwendet wird. Alle Netzwerkgeräte, die im Netzwerk kommunizieren müssen, senden ARP-Abfragen im System, um die MAC-Adressen anderer Computer zu ermitteln. ARP-Vergiftung ist auch bekannt alsARP Spoofing.
So funktioniert ARP -
Wenn ein Computer mit einem anderen kommunizieren muss, schlägt er seine ARP-Tabelle nach.
Wenn die MAC-Adresse nicht in der Tabelle gefunden wird, wird die ARP_request wird über das Netzwerk gesendet.
Alle Computer im Netzwerk vergleichen diese IP-Adresse mit der MAC-Adresse.
Wenn einer der Computer im Netzwerk diese Adresse identifiziert, antwortet er auf die ARP_request mit seiner IP- und MAC-Adresse.
Der anfordernde Computer speichert das Adresspaar in seiner ARP-Tabelle und die Kommunikation findet statt.
Was ist ARP-Spoofing?
ARP-Pakete können gefälscht werden, um Daten an den Computer des Angreifers zu senden.
ARP-Spoofing erstellt eine große Anzahl gefälschter ARP-Anforderungs- und Antwortpakete, um den Switch zu überlasten.
Der Schalter ist eingeschaltet forwarding mode und nach dem ARP table Wird mit gefälschten ARP-Antworten überflutet, können die Angreifer alle Netzwerkpakete abhören.
Angreifer überfluten einen ARP-Cache des Zielcomputers mit gefälschten Einträgen, der auch als bezeichnet wird poisoning. Bei einer ARP-Vergiftung wird der Man-in-the-Middle-Zugriff verwendet, um das Netzwerk zu vergiften.
Was ist MITM?
Der Man-in-the-Middle-Angriff (abgekürzt MITM, MitM, MIM, MiM, MITMA) impliziert einen aktiven Angriff, bei dem der Gegner sich als Benutzer ausgibt, indem er eine Verbindung zwischen den Opfern herstellt und Nachrichten zwischen ihnen sendet. In diesem Fall denken die Opfer, dass sie miteinander kommunizieren, aber in Wirklichkeit kontrolliert der böswillige Akteur die Kommunikation.
Es gibt eine dritte Person, die den Kommunikationsverkehr zwischen zwei Parteien steuert und überwacht. Einige Protokolle wieSSL dienen dazu, diese Art von Angriff zu verhindern.
ARP-Vergiftung - Übung
In dieser Übung haben wir verwendet BetterCAP ARP-Vergiftung in einer LAN-Umgebung mithilfe der von uns installierten VMware-Workstation durchführen Kali Linux und Ettercap Tool zum Aufspüren des lokalen Datenverkehrs im LAN.
Für diese Übung benötigen Sie die folgenden Tools:
- VMware Workstation
- Kali Linux oder Linux Betriebssystem
- Ettercap Tool
- LAN-Verbindung
Note- Dieser Angriff ist in drahtgebundenen und drahtlosen Netzwerken möglich. Sie können diesen Angriff im lokalen LAN ausführen.
Step 1 - Installieren Sie die VMware-Workstation und das Kali Linux-Betriebssystem.
Step 2 - Melden Sie sich bei Kali Linux mit dem Benutzernamen pass "root, toor" an.
Step 3 - Stellen Sie sicher, dass Sie mit dem lokalen LAN verbunden sind, und überprüfen Sie die IP-Adresse, indem Sie den Befehl eingeben ifconfig im Terminal.
Step 4 - Öffnen Sie das Terminal und geben Sie „Ettercap –G“ ein, um die grafische Version von Ettercap zu starten.
Step 5- Klicken Sie nun in der Menüleiste auf die Registerkarte „Sniff“, wählen Sie „Unified Sniffing“ und klicken Sie auf OK, um die Benutzeroberfläche auszuwählen. Wir werden "eth0" verwenden, was "Ethernet-Verbindung" bedeutet.
Step 6- Klicken Sie nun in der Menüleiste auf die Registerkarte „Hosts“ und dann auf „Nach Hosts suchen“. Das gesamte Netzwerk wird nach aktiven Hosts durchsucht.
Step 7- Klicken Sie anschließend auf die Registerkarte "Hosts" und wählen Sie "Hosts List", um die Anzahl der im Netzwerk verfügbaren Hosts anzuzeigen. Diese Liste enthält auch die Standard-Gateway-Adresse. Wir müssen vorsichtig sein, wenn wir die Ziele auswählen.
Step 8- Jetzt müssen wir die Ziele auswählen. In MITM ist unser Ziel der Host-Computer, und die Route ist die Router-Adresse, um den Datenverkehr weiterzuleiten. Bei einem MITM-Angriff fängt der Angreifer das Netzwerk ab und schnüffelt an den Paketen. Also werden wir das Opfer als "Ziel 1" und die Router-Adresse als "Ziel 2" hinzufügen.
In einer VMware-Umgebung endet das Standard-Gateway immer mit "2", da der physischen Maschine "1" zugewiesen ist.
Step 9- In diesem Szenario lautet unser Ziel "192.168.121.129" und der Router "192.168.121.2". Also werden wir Ziel 1 als hinzufügenvictim IP und Ziel 2 als router IP.
Step 10- Klicken Sie nun auf "MITM" und dann auf "ARP-Vergiftung". Aktivieren Sie anschließend die Option „Remote-Verbindungen schnüffeln“ und klicken Sie auf OK.
Step 11- Klicken Sie auf "Start" und wählen Sie "Sniffing starten". Dadurch wird eine ARP-Vergiftung im Netzwerk ausgelöst. Dies bedeutet, dass wir unsere Netzwerkkarte im „Promiscuous-Modus“ aktiviert haben und nun der lokale Datenverkehr abgehört werden kann.
Note - Wir haben nur HTTP-Sniffing mit Ettercap zugelassen. Erwarten Sie daher nicht, dass HTTPS-Pakete mit diesem Prozess abgehört werden.
Step 12- Jetzt ist es Zeit, die Ergebnisse zu sehen; wenn sich unser Opfer auf einigen Websites angemeldet hat. Sie können die Ergebnisse in der Symbolleiste von Ettercap sehen.
So funktioniert Schnüffeln. Sie müssen verstanden haben, wie einfach es ist, die HTTP-Anmeldeinformationen abzurufen, indem Sie die ARP-Vergiftung aktivieren.
ARP-Vergiftungen können in Unternehmensumgebungen zu enormen Verlusten führen. Dies ist der Ort, an dem ethische Hacker ernannt werden, um die Netzwerke zu sichern.
Wie bei der ARP-Vergiftung gibt es andere Angriffe wie MAC-Flooding, MAC-Spoofing, DNS-Vergiftung, ICMP-Vergiftung usw., die einen erheblichen Verlust für ein Netzwerk verursachen können.
Im nächsten Kapitel werden wir eine andere Art von Angriff diskutieren, die als bekannt ist DNS poisoning.