การแฮ็กอย่างมีจริยธรรม - ARP Poisoning

Address Resolution Protocol (ARP) เป็นโปรโตคอลไร้สถานะที่ใช้สำหรับการแก้ไขที่อยู่ IP เป็นที่อยู่ MAC ของเครื่อง อุปกรณ์เครือข่ายทั้งหมดที่ต้องการสื่อสารบนเครือข่ายที่ออกอากาศแบบสอบถาม ARP ในระบบเพื่อค้นหาที่อยู่ MAC ของเครื่องอื่น ARP Poisoning เรียกอีกอย่างว่าARP Spoofing.

นี่คือวิธีการทำงานของ ARP -

  • เมื่อเครื่องหนึ่งต้องการสื่อสารกับอีกเครื่องจะค้นหาตาราง ARP

  • หากไม่พบที่อยู่ MAC ในตารางไฟล์ ARP_request ออกอากาศผ่านเครือข่าย

  • เครื่องทั้งหมดบนเครือข่ายจะเปรียบเทียบที่อยู่ IP นี้กับที่อยู่ MAC

  • หากเครื่องใดเครื่องหนึ่งในเครือข่ายระบุที่อยู่นี้เครื่องจะตอบสนองต่อไฟล์ ARP_request ด้วยที่อยู่ IP และ MAC

  • คอมพิวเตอร์ที่ร้องขอจะจัดเก็บคู่ที่อยู่ไว้ในตาราง ARP และการสื่อสารจะเกิดขึ้น

ARP Spoofing คืออะไร?

แพ็กเก็ต ARP สามารถปลอมแปลงเพื่อส่งข้อมูลไปยังเครื่องของผู้โจมตีได้

  • การปลอมแปลง ARP สร้างคำขอ ARP ปลอมและแพ็กเก็ตตอบกลับจำนวนมากเพื่อโอเวอร์โหลดสวิตช์

  • สวิตช์ถูกตั้งค่าใน forwarding mode และหลังจาก ARP table เต็มไปด้วยการตอบสนอง ARP ที่หลอกลวงผู้โจมตีสามารถดักจับแพ็กเก็ตเครือข่ายทั้งหมดได้

ผู้โจมตีท่วมแคช ARP ของคอมพิวเตอร์เป้าหมายด้วยรายการปลอมแปลงซึ่งเรียกอีกอย่างว่า poisoning. พิษของ ARP ใช้การเข้าถึงแบบ Man-in-the-Middle เพื่อวางยาพิษในเครือข่าย

MITM คืออะไร?

การโจมตีแบบ Man-in-the-Middle (ตัวย่อ MITM, MitM, MIM, MiM, MITMA) หมายถึงการโจมตีแบบแอคทีฟที่ฝ่ายตรงข้ามแอบอ้างเป็นผู้ใช้โดยสร้างการเชื่อมต่อระหว่างเหยื่อและส่งข้อความระหว่างกัน ในกรณีนี้ผู้ที่ตกเป็นเหยื่อคิดว่าพวกเขากำลังสื่อสารกัน แต่ในความเป็นจริงนักแสดงที่เป็นอันตรายจะควบคุมการสื่อสาร

บุคคลที่สามมีหน้าที่ควบคุมและตรวจสอบการจราจรของการสื่อสารระหว่างสองฝ่าย โปรโตคอลบางอย่างเช่นSSL ทำหน้าที่ป้องกันการโจมตีประเภทนี้

ARP Poisoning - การออกกำลังกาย

ในแบบฝึกหัดนี้เราได้ใช้ BetterCAP เพื่อดำเนินการ ARP พิษในสภาพแวดล้อม LAN โดยใช้เวิร์กสเตชัน VMware ที่เราติดตั้งไว้ Kali Linux และ Ettercap เครื่องมือในการสูดอากาศการจราจรในระบบ LAN

สำหรับแบบฝึกหัดนี้คุณจะต้องมีเครื่องมือดังต่อไปนี้ -

  • เวิร์กสเตชัน VMware
  • ระบบปฏิบัติการ Kali Linux หรือ Linux
  • เครื่องมือ Ettercap
  • การเชื่อมต่อ LAN

Note- การโจมตีนี้เกิดขึ้นได้ในเครือข่ายแบบใช้สายและไร้สาย คุณสามารถทำการโจมตีนี้ใน LAN ท้องถิ่น

Step 1 - ติดตั้งเวิร์กสเตชัน VMware และติดตั้งระบบปฏิบัติการ Kali Linux

Step 2 - เข้าสู่ระบบ Kali Linux โดยใช้ username pass“ root, toor”

Step 3 - ตรวจสอบให้แน่ใจว่าคุณเชื่อมต่อกับ LAN ภายในและตรวจสอบที่อยู่ IP โดยพิมพ์คำสั่ง ifconfig ในเทอร์มินัล

Step 4 - เปิดเทอร์มินัลและพิมพ์“ Ettercap –G” เพื่อเริ่ม Ettercap เวอร์ชันกราฟิก

Step 5- จากนั้นคลิกแท็บ“ sniff” ในแถบเมนูแล้วเลือก“ unified sniffing” แล้วคลิกตกลงเพื่อเลือกอินเทอร์เฟซ เราจะใช้“ eth0” ซึ่งหมายถึงการเชื่อมต่ออีเธอร์เน็ต

Step 6- คลิกแท็บ“ โฮสต์” ในแถบเมนูแล้วคลิก“ สแกนหาโฮสต์” มันจะเริ่มสแกนเครือข่ายทั้งหมดสำหรับโฮสต์ที่ยังมีชีวิตอยู่

Step 7- จากนั้นคลิกแท็บ "โฮสต์" และเลือก "รายชื่อโฮสต์" เพื่อดูจำนวนโฮสต์ที่มีอยู่ในเครือข่าย รายการนี้ยังมีที่อยู่เกตเวย์เริ่มต้น เราต้องระมัดระวังในการเลือกเป้าหมาย

Step 8- ตอนนี้เราต้องเลือกเป้าหมาย ใน MITM เป้าหมายของเราคือเครื่องโฮสต์และเส้นทางจะเป็นที่อยู่ของเราเตอร์เพื่อส่งต่อการรับส่งข้อมูล ในการโจมตี MITM ผู้โจมตีจะสกัดกั้นเครือข่ายและดักจับแพ็กเก็ต ดังนั้นเราจะเพิ่มเหยื่อเป็น "เป้าหมาย 1" และที่อยู่เราเตอร์เป็น "เป้าหมาย 2"

ในสภาพแวดล้อม VMware เกตเวย์เริ่มต้นจะลงท้ายด้วย“ 2” เสมอเนื่องจาก“ 1” ถูกกำหนดให้กับเครื่องจริง

Step 9- ในสถานการณ์นี้เป้าหมายของเราคือ“ 192.168.121.129” และเราเตอร์คือ“ 192.168.121.2” ดังนั้นเราจะเพิ่มเป้าหมาย 1 เป็นvictim IP และกำหนดเป้าหมาย 2 เป็น router IP.

Step 10- คลิกที่“ MITM” แล้วคลิก“ ARP toxic” หลังจากนั้นให้เลือกตัวเลือก“ Sniff remote connections” แล้วคลิกตกลง

Step 11- คลิก "เริ่ม" และเลือก "เริ่มดมกลิ่น" การดำเนินการนี้จะทำให้ ARP เป็นพิษในเครือข่ายซึ่งหมายความว่าเราได้เปิดใช้การ์ดเครือข่ายของเราใน "โหมดสำส่อน" และตอนนี้การรับส่งข้อมูลในพื้นที่สามารถดมได้

Note - เราอนุญาตให้ใช้เฉพาะ HTTP sniffing ด้วย Ettercap ดังนั้นอย่าคาดหวังว่าแพ็กเก็ต HTTPS จะถูกดมกลิ่นด้วยกระบวนการนี้

Step 12- ตอนนี้ถึงเวลาดูผลลัพธ์แล้ว หากเหยื่อของเราลงชื่อเข้าใช้บางเว็บไซต์ คุณสามารถดูผลลัพธ์ได้ในแถบเครื่องมือของ Ettercap

นี่คือวิธีการทำงานของการดมกลิ่น คุณต้องเข้าใจว่าการรับข้อมูลประจำตัว HTTP นั้นง่ายเพียงใดเพียงแค่เปิดใช้งานการเป็นพิษของ ARP

ARP Poisoning มีศักยภาพที่จะทำให้เกิดความสูญเสียอย่างมากในสภาพแวดล้อมของ บริษัท นี่คือสถานที่ที่แฮ็กเกอร์ที่มีจริยธรรมได้รับการแต่งตั้งเพื่อรักษาความปลอดภัยเครือข่าย

เช่นเดียวกับการเป็นพิษของ ARP มีการโจมตีอื่น ๆ เช่นการท่วม MAC การปลอมแปลง MAC การเป็นพิษของ DNS การเป็นพิษของ ICMP เป็นต้นซึ่งอาจทำให้เกิดความสูญเสียอย่างมากต่อเครือข่าย

ในบทต่อไปเราจะพูดถึงการโจมตีอีกประเภทหนึ่งที่เรียกว่า DNS poisoning.