Инструменти за използване при ARP спуфинг атака
Има много инструменти като Arpspoof, Cain & Abel, Arpoison и Ettercap, които са налични за стартиране на ARP спуфинг.
Ето екранната снимка, която показва как споменатите инструменти могат да изпратят спорно ARP заявката:
ARP спуфинг атака в детайли
Нека да видим някои екранни снимки и да разберем ARP подправянето стъпка по стъпка:
Етап 1 :
Очакването на нападателя е да получи ARP отговор, за да може да научи MAC адреса на жертвата. Сега, ако отидем по-нататък в дадената екранна снимка, можем да видим, че има 2 ARP отговора от IP адресите 192.168.56.100 и 192.168.56.101. След това жертвата [192.168.56.100 и 192.168.56.101] актуализира своя ARP кеш, но не е изпратила обратна заявка. Така че записът в ARP кеша никога не се коригира.
Номерата на пакетите за ARP заявка са 137 и 138. Номерата на пакетите за ARP отговор са 140 и 143.
По този начин атакуващият открива уязвимостта, като прави ARP спуфинг. Това се нарича „влизане на атака“.
Стъпка 2:
Номерата на пакетите са 141, 142 и 144, 146.
От предишната дейност атакуващият вече има валидни MAC адреси 192.168.56.100 и 192.168.56.101. Следващата стъпка за нападателя е да изпрати ICMP пакета до IP адреса на жертвата. И можем да видим от дадената екранна снимка, че атакуващият е изпратил ICMP пакет и е получил ICMP отговор от 192.168.56.100 и 192.168.56.101. Това означава, че и двата IP адреса [192.168.56.100 и 192.168.56.101] са достъпни.
Стъпка 3:
Можем да видим, че има последната ARP заявка за 192.168.56.101 IP адрес, за да потвърдим, че хостът е активен и има същия MAC адрес от 08:00:27:dd:84:45.
Даденият номер на пакет е 3358.
Стъпка 4:
Има друга ICMP заявка и отговор с IP адрес 192.168.56.101. Номерата на пакетите са 3367 и 3368.
Оттук можем да мислим, че атакуващият е насочен към жертвата, чийто IP адрес е 192.168.56.101.
Сега всяка информация, която идва от IP адреса 192.168.56.100 или 192.168.56.101 до IP 192.168.56.1, достига до атакуващия MAC адрес, чийто IP адрес е 192.168.56.1.
Стъпка 5:
След като нападателят има достъп, той се опитва да установи действителна връзка. От дадената екранна снимка можем да видим, че установяването на HTTP връзка се опитва от нападателя. Има TCP връзка вътре в HTTP, което означава, че трябва да има 3-посочно ръкостискане. Това са обмените на пакети за TCP:
SYN -> SYN+ACK -> ACK.
От дадената екранна снимка можем да видим, че атакуващият опитва повторно SYN пакета няколко пъти на различни портове. Номерът на рамката от 3460 до 3469. Номерът на пакета 3469 SYN е за порт 80, който е HTTP.
Стъпка 6:
Първото успешно TCP ръкостискане е показано при следните номера на пакети от дадената екранна снимка:
4488: SYN рамка от нападател
4489: SYN+ACK рамка от 192.168.56.101
4490: ACK рамка от нападател
Стъпка 7:
След като TCP връзката е успешна, атакуващият може да установи HTTP връзка [номер на рамка 4491 до 4495], последвана от SSH връзка [номер на рамка 4500 до 4503].
Сега атаката има достатъчно контрол, така че да може да направи следното:
- Атака за отвличане на сесия
- Човек в средата на атака [MITM]
- Отказ от услуга (DoS) атака
Как да предотвратите ARP Spoofing Attack
Ето някои защити, които могат да бъдат предприети, за да се предотврати ARP spoofing атака:
- Използване на записи „Статичен ARP“.
- Софтуер за откриване и предотвратяване на ARP спуфинг
- Филтриране на пакети
- VPN и др.
Освен това бихме могли да спрем това да се случва отново, ако използваме HTTPS вместо HTTP и използваме сигурността на транспортния слой SSL (Secure Socket слой). Това е така, че всички комуникации да са криптирани.
Заключение
От тази статия получихме някаква основна идея за ARP спуфинг атака и как тя може да получи достъп до всеки ресурс на системата. Освен това вече знаем как да спрем този вид атака. Тази информация помага на мрежовия администратор или всеки системен потребител да се предпази от ARP spoofing атака.