Vienkāršs cilvēks vidējā MitM (ARP Spoofing) uzbrukumā

Vienkāršs cilvēks vidējā MitM (ARP Spoofing) uzbrukumā | Drošība 2025
Vienkāršs cilvēks vidējā MitM (ARP Spoofing) uzbrukumā | Drošība 2025

Kas ir ARP krāpšana?Tehnika ARP izkrāpšana Tas pamatā sastāv no dizaina ievainojamības izmantošanas ARP protokolā un ARP kešatmiņas ieviešanas saimniekdatoros.

Tīkla slānī (ISO / OSI) avota un galamērķa sistēmas ir labi definētas pēc to IP adresēm, bet saites slāņa līmenī ir jānosaka katra resursdatora MAC adreses.

ARP (RFC 826) ir adrešu tulkošanas protokols starp divām dažādām adresēšanas shēmām, kā tas ir starp IP protokolu un MAC protokolu. Būtībā tā funkcija Ethernet tīklā ir noteikt stacijas MAC adresi, ņemot vērā tās IP adresi. Tulkošana tiek veikta, apmainoties ar vaicājuma ziņojumiem un ARP atbildēm.

Pamata mehānisms darbojas, nosūtot 28 baitu ziņojumu uz apraides adresi, un tikai pareizais resursdators atbild tieši uz vaicājuma sūtītāju.

Lai ARP vaicājums sasniegtu visas ierīces, ir norādīta galamērķa MAC adrese FF: FF: FF: FF: FF: FF (A.K.A. apraides MAC adrese). Kad slēdzis saņem kadru, kas paredzēts FF: FF: FF: FF: FF: FF, tas turpina pārsūtīt minēto kadru caur visām pārējām ostām (nolūks ir, lai visi saimnieki “klausītos” jautājumu).

PALIELINĀT

Iegūtā atbilde tiek izmantota, lai noteiktu galamērķa MAC adresi, un tādējādi var sākties pārraide.

PALIELINĀT

Iegūtās IP-MAC attiecības tiks īslaicīgi saglabātas ARP ierakstu tabulā (ARP kešatmiņa) tādā veidā, ka, ja Bobs nākotnē atkal mēģinās nosūtīt datus Alisei, viņam atliek tikai iepazīties ar ARP kešatmiņas tabulu, lai noteikt Alises MAC. nav nepieciešams "jautāt vēlreiz".

Atkarībā no operētājsistēmas ieviešanas šie ARP kešatmiņas ieraksti var tikt atjaunināti, ņemot vērā to pēdējo lietojumu, pēdējo reizi, kad tika “novērota” MAC adrese utt. Tos var iestatīt arī statiski, manuāli konfigurējot.

Visos gadījumos ARP protokols neapstiprina ARP atbildē iegūtos datus, tas ir, ja Bobs saņem ARP atbildi, kas norāda, ka noteikta MAC ir saistīta ar Alises IP, Bobs pieņem informāciju "bez vilcināšanās". Jums ir atļauts nosūtīt ARP atbildes bez iepriekšēja jautājuma, un tos sauc par “bezmaksas ARP” ziņojumiem. Šos ziņojumus sistēmas, kas tos saņem, izmantos, lai atjauninātu informāciju ARP kešatmiņas tabulā.

Uzbrucējs var apzināti nosūtīt ARP atbildes bez iepriekšēja jautājuma (“bez atlīdzības”), norādot, ka viņa paša MAC atbilst Alises IP, un Bobs pieņems šīs atbildes kā “pēdējā brīža informāciju” un turpinās atjaunināt ierakstu ARP kešatmiņas tabula Alises IP ar uzbrucēja MAC.

ARP Spoofing tehnika sastāv no nepareizas informācijas nosūtīšanas par MAC-IP tulkojumu; Kad Bobs izmanto šo nepatieso informāciju, lai atjauninātu savu ARP kešatmiņu, rodas ARP saindēšanās situācija (ARP saindēšanās).

Šī situācija izraisīs to, ka Bobs nosūta kadrus uz Alises IP, ko slēdzis piegādā uz uzbrucēja portu (atcerieties, ka slēdzis skatās uz MAC).

Tagad, ja uzbrucējs Alisei piemēro to pašu paņēmienu, pārliecinot Alisi, ka uzbrucēja MAC adrese atbilst Boba IP adresei, tad uzbrucējs ir pārliecinājis Bobu, ka viņš ir Alise un Alise, ka viņš ir Bobs, panākot starpnieka situāciju (Cilvēks Vidus).

Uzbrucēja pienākums būs pārsūtīt kadrus katrai sistēmai, lai satiksme būtu aktīva un izvairītos no sakaru problēmām augšējā slānī. Turklāt uzbrucējs var pārbaudīt trafiku, iegūt sensitīvus datus, manipulēt ar informāciju utt.

Iesaistītās sistēmas

Testēšanai izmantojamās sistēmasBobs AA: BB: CC: 11: 22: 33 (192.168.0.1/24)
Alise AA: BB: CC: 22: 33: 44 (192.168.0.2/24)
Uzbrucējs AA: BB: CC: 88: 88: 88 (192.168.0.3/24)

Uzbrukuma sistēmai tas tiks izmantots GNU / Linux Ubuntu un upuriem es izmantošu Windows XP SP3, bet upura operētājsistēmai nav īstas nozīmes. Pirmkārt, lai pārbaudītu ARP saindēšanos, jāizmanto rīks, kas ļauj nosūtīt ARP viltus ziņojumus upuriem. Šajā apmācībā es izmantošu "dsniff", kas būtībā ir rīku komplekts paroļu šņaukšanai.

Starp instrumentiem, kas iekļauti dsniff pakete, tas ir atrasts "arpspoof”, Kas būtībā veic ARP izkrāpšanu norādītajam upurim.

Uz instalējiet dsniff ierakstiet terminālī: 

 $ sudo apt-get install dsniff
Ar to jūs to instalējat.

Pirms uzbrukuma analīze


Sākotnējā brīdī Boba ARP kešatmiņā ir ieraksts, kas norāda, ka Alises IP adrese atbilst MAC AA: BB: CC: 22: 33: 44.

Lai skatītu ARP kešatmiņas tabulu, dodieties uz:

  • Sākt
  • Palaist
  • cmd

Windows terminālī ierakstiet: 

 Liela telts
Jūs iegūsit Boba ARP kešatmiņas tabulas pašreizējo saturu:

Līdzīgi Alises datorā:

Uzbrukums


Pirmajā gadījumā ,. pārsūtīšanas bits uzbrucēja sistēmā: 
 # echo 1> / proc / sys / net / ipv4 / ip_forward
Tādā veidā tiek novērsta pakešu zaudēšana, Bobs un Alise varēs mijiedarboties tā, it kā nekas nebūtu noticis.

arpspoof komanda lieto šādi: 

 # arpspoof -i INTERFAZ_LAN -t IP_VICTIMA_POISONING IP_VICTIMA_SPOOFED
No kurienes:

INTERFAZ_LANTīkla karte, kuru mēs izmantosim uzbrukumam, šīs saskarnes MAC adrese tiks izmantota ARP Spoofing ziņojumiem.

IP_VICTIMA_POISONINGTā ir tā upura IP adrese, kura ARP kešatmiņas tabula tiek saindēta.

IP_VICTIMA_SPOOFEDTā ir IP adrese, kas norāda ierakstu upura ARP kešatmiņas tabulā, ar kuru tiks saistīts uzbrucēja MAC.

Lai pārliecinātu Alisi, ka Bobam ir MAC AA: BB: CC: 88: 88: 88, uzbrucēja sistēmas terminālī izpildiet arpspoof šādi: 

 # arpspoof -i eth0 -t 192.168.0.2 192.168.0.1
ARP atbildes ziņojumi tiks nosūtīti Alisei ar manipulētu informāciju:

Palaidiet CITU termināli (iepriekšējo nevajadzētu pārtraukt) un izpildiet uzbrukumu pretējā virzienā, lai pārliecinātu Bobu, ka Alisei ir MAC AA: BB: CC: 88: 88: 88, uzbrucēja sistēmas terminālī izpildiet arpopoof šādi: : 

 # arpspoof -i eth0 -t 192.168.0.1 192.168.0.2
ARP atbildes ziņojumi tiks nosūtīti Bobam ar manipulētu informāciju:

Kopš šī brīža uzbrucējs saglabā starpnieka (MitM) statusu, nosūtot manipulētus ARP ziņojumus:

PALIELINĀT

Atkārtojot pirmos soļus, ir iespējams pārbaudīt, kā Boba un Alises ARP kešatmiņas ieraksti ir atjaunināti ar uzbrucēja MAC:

Boba ARP kešatmiņa:

Alises ARP kešatmiņa:

Kadri, ko Bobs nosūta Alisei, tiek piegādāti uzbrucējam, un uzbrucējs tos pārsūta Alisei. Tādā pašā veidā Alises sūtītie kadri tiek piegādāti uzbrucējam, un viņš tos pārsūta Bobam.

PALIELINĀT

Uzbrucējs varēja uztvert trafiku ar savu tīkla karti nejaušā režīmā un iegūt, piemēram, piekļuves akreditācijas datus tīmekļa portālam, kas neizmanto SSL.

Piemēram, šādā trafika uztveršanā uzbrucējs ir ieguvis PHPMyAdmin portāla piekļuves akreditācijas datus: (lietotājs “root”, parole “ad00”)

PALIELINĀT

Visbeidzot, lai pārtrauktu uzbrukumu, nepārtraucot sakarus, uzbrucējs aptur "arpspoof" termināli, nospiežot taustiņus:

Ctrl + C

Un rīks automātiski nosūtīs ARP vaicājumus katram cietušajam, lai ARP kešatmiņas informācija tiktu atjaunināta ar pareizajiem datiem.

Līdz tam laikam uzbrucējs atbrīvo sakarus un var atvienoties no tīkla, lai analizētu jau iegūto trafiku.

Dažas pretvīrusu sistēmas pārrauga ierakstu izmaiņas ARP kešatmiņas tabulā, pat GNU / Linux ir rīks ar nosaukumu “ARPWatch"Tas brīdina par izmaiņām ARP-IP attiecībās sistēmas ARP kešatmiņas tabulās.

Citā rakstā, iespējamās metodes, kā novērst MitM uzbrukumi, kuru pamatā ir ARP izkrāpšana un ARP saindēšanās.

Vai jums patika šī apmācība un palīdzējāt tai?Jūs varat apbalvot autoru, nospiežot šo pogu, lai sniegtu viņam pozitīvu punktu
wave wave wave wave wave

Populārākas Posts

wave
1
post-title
Labākie īsinājumtaustiņi, ko izmantot Finder macOS
2
post-title
Labākie triki un funkcijas, lai pielāgotu Finder operētājsistēmā Mac
3
post-title
Kā pārsūtīt fotoattēlus no Android vai iPhone mobilā uz Windows 10, izmantojot WiFi
4
post-title
Bloķējiet kontaktus iPhone ierīcē minūtē
5
post-title
▷ Kā ievietot vai noņemt kredītkarti PS5 - Playstation 5

Ieteicams

wave
- Sponsored Ad -

Redaktora Izvēle

wave
- Sponsored Ad -