Etyczne hakowanie - zatrucie ARP

Address Resolution Protocol (ARP) to bezstanowy protokół używany do przekształcania adresów IP na adresy MAC komputerów. Wszystkie urządzenia sieciowe, które muszą komunikować się w sieci, wysyłają zapytania ARP w systemie, aby znaleźć adresy MAC innych maszyn. Poisoning ARP jest również znany jakoARP Spoofing.

Oto jak działa ARP -

  • Kiedy jedna maszyna musi się komunikować z inną, sprawdza swoją tablicę ARP.

  • Jeśli adres MAC nie zostanie znaleziony w tabeli, rozszerzenie ARP_request jest nadawany w sieci.

  • Wszystkie maszyny w sieci porównują ten adres IP z adresem MAC.

  • Jeśli jeden z komputerów w sieci zidentyfikuje ten adres, odpowie na ARP_request z jego adresem IP i MAC.

  • Komputer żądający zapisze parę adresów w swojej tablicy ARP i nastąpi komunikacja.

Co to jest spoofing ARP?

Pakiety ARP mogą być sfałszowane, aby wysyłać dane do maszyny atakującego.

  • Fałszowanie ARP tworzy dużą liczbę sfałszowanych pakietów żądań ARP i odpowiedzi w celu przeciążenia przełącznika.

  • Przełącznik jest ustawiony w pozycji forwarding mode i po ARP table jest zalany sfałszowanymi odpowiedziami ARP, atakujący mogą podsłuchiwać wszystkie pakiety sieciowe.

Atakujący zalewają pamięć podręczną ARP komputera docelowego sfałszowanymi wpisami, znanymi również jako poisoning. Zatrucie ARP wykorzystuje dostęp Man-in-the-Middle do zatrucia sieci.

Co to jest MITM?

Atak Man-in-the-Middle (w skrócie MITM, MitM, MIM, MiM, MITMA) oznacza aktywny atak, w którym przeciwnik podszywa się pod użytkownika, tworząc połączenie między ofiarami i wysyłając między nimi wiadomości. W tym przypadku ofiary myślą, że komunikują się ze sobą, ale w rzeczywistości to złośliwy aktor kontroluje komunikację.

Istnieje trzecia osoba, która kontroluje i monitoruje ruch komunikacyjny między dwiema stronami. Niektóre protokoły, takie jakSSL służą do zapobiegania tego typu atakom.

Zatrucie ARP - Ćwiczenia

W tym ćwiczeniu użyliśmy BetterCAP do wykonywania zatruć ARP w środowisku LAN przy użyciu stacji roboczej VMware, na której zainstalowaliśmy Kali Linux i Ettercap narzędzie do wykrywania ruchu lokalnego w sieci LAN.

Do tego ćwiczenia potrzebne byłyby następujące narzędzia -

  • VMware Workstation
  • System operacyjny Kali Linux lub Linux
  • Narzędzie Ettercap
  • Połączenie LAN

Note- Ten atak jest możliwy w sieciach przewodowych i bezprzewodowych. Możesz przeprowadzić ten atak w lokalnej sieci LAN.

Step 1 - Zainstaluj stację roboczą VMware i zainstaluj system operacyjny Kali Linux.

Step 2 - Zaloguj się do Kali Linux używając nazwy użytkownika pass „root, toor”.

Step 3 - Upewnij się, że masz połączenie z lokalną siecią LAN i sprawdź adres IP, wpisując polecenie ifconfig w terminalu.

Step 4 - Otwórz terminal i wpisz „Ettercap –G”, aby uruchomić graficzną wersję Ettercap.

Step 5- Teraz kliknij zakładkę „sniff” na pasku menu i wybierz „unified sniffing” i kliknij OK, aby wybrać interfejs. Będziemy używać „eth0”, co oznacza połączenie Ethernet.

Step 6- Teraz kliknij zakładkę „hosty” na pasku menu i kliknij „skanuj w poszukiwaniu hostów”. Rozpocznie skanowanie całej sieci w poszukiwaniu żywych hostów.

Step 7- Następnie kliknij zakładkę „hosty” i wybierz „lista hostów”, aby zobaczyć liczbę hostów dostępnych w sieci. Ta lista zawiera również domyślny adres bramy. Musimy być ostrożni przy wyborze celów.

Step 8- Teraz musimy wybrać cele. W MITM naszym celem jest maszyna hosta, a trasa będzie adresem routera do przekazywania ruchu. Podczas ataku MITM osoba atakująca przechwytuje sieć i podsłuchuje pakiety. Dlatego dodamy ofiarę jako „cel 1”, a adres routera jako „cel 2”.

W środowisku VMware domyślna brama zawsze kończy się na „2”, ponieważ „1” jest przypisane do maszyny fizycznej.

Step 9- W tym scenariuszu naszym celem jest „192.168.121.129”, a router to „192.168.121.2”. Więc dodamy cel 1 jakovictim IP i cel 2 jako router IP.

Step 10- Teraz kliknij „MITM” i kliknij „Poisoning ARP”. Następnie zaznacz opcję „Sniff zdalne połączenia” i kliknij OK.

Step 11- Kliknij „start” i wybierz „rozpocznij węszenie”. Spowoduje to zatruwanie sieci przez ARP, co oznacza, że ​​włączyliśmy naszą kartę sieciową w „trybie rozwiązłym” i teraz można podsłuchać ruch lokalny.

Note - Pozwoliliśmy tylko na sniffowanie HTTP w Ettercap, więc nie spodziewaj się, że pakiety HTTPS będą przechwytywane przez ten proces.

Step 12- Teraz nadszedł czas, aby zobaczyć wyniki; jeśli nasza ofiara zalogowała się na niektórych stronach internetowych. Możesz zobaczyć wyniki na pasku narzędzi Ettercap.

Tak działa wąchanie. Musiałeś zrozumieć, jak łatwo jest uzyskać poświadczenia HTTP, po prostu włączając zatruwanie ARP.

ARP Poisoning może spowodować ogromne straty w środowisku firmowym. To jest miejsce, w którym etyczni hakerzy są wyznaczani do zabezpieczania sieci.

Podobnie jak w przypadku zatrucia ARP, istnieją inne ataki, takie jak zalewanie adresów MAC, spoofing adresów MAC, zatruwanie DNS, zatruwanie ICMP itp., Które mogą spowodować znaczne straty w sieci.

W następnym rozdziale omówimy inny typ ataku znany jako DNS poisoning.