Instrumente de utilizat în ARP Spoofing Attack
Există multe instrumente precum Arpspoof, Cain & Abel, Arpoison și Ettercap, care sunt disponibile pentru a începe falsificarea ARP.
Iată o captură de ecran pentru a arăta cum instrumentele menționate pot trimite cererea ARP în mod contencios:
Atacul de falsificare ARP în detalii
Să vedem câteva capturi de ecran și să înțelegem falsificarea ARP pas cu pas:
Pasul 1 :
Atacatorul se așteaptă să primească răspunsul ARP, astfel încât să poată afla adresa MAC a victimei. Acum, dacă mergem mai departe în captura de ecran dată, putem vedea că există 2 răspunsuri ARP de la adresele IP 192.168.56.100 și 192.168.56.101. După aceasta, victima [192.168.56.100 și 192.168.56.101] își actualizează memoria cache ARP, dar nu a interogat înapoi. Deci, intrarea în memoria cache ARP nu este niciodată corectată.
Numerele pachetelor de solicitare ARP sunt 137 și 138. Numerele pachetelor de răspuns ARP sunt 140 și 143.
Astfel, atacatorul găsește vulnerabilitatea făcând falsificarea ARP. Aceasta este numită „intrarea atacului”.
Pasul 2:
Numerele pachetelor sunt 141, 142 și 144, 146.
Din activitatea anterioară, atacatorul are acum adrese MAC valide de 192.168.56.100 și 192.168.56.101. Următorul pas pentru atacator este să trimită pachetul ICMP la adresa IP a victimei. Și putem vedea din captura de ecran dată că atacatorul a trimis un pachet ICMP și a primit un răspuns ICMP de la 192.168.56.100 și 192.168.56.101. Aceasta înseamnă că ambele adrese IP [192.168.56.100 și 192.168.56.101] sunt accesibile.
Pasul 3:
Putem vedea că există ultima solicitare ARP pentru adresa IP 192.168.56.101 pentru a confirma că gazda este activă și are aceeași adresă MAC de 08:00:27:dd:84:45.
Numărul de pachet dat este 3358.
Pasul 4:
Există o altă solicitare și răspuns ICMP cu adresa IP 192.168.56.101. Numerele pachetelor sunt 3367 și 3368.
De aici putem crede că atacatorul vizează victima a cărei adresă IP este 192.168.56.101.
Acum, orice informație care vine de la adresa IP 192.168.56.100 sau 192.168.56.101 la IP 192.168.56.1 ajunge la atacatorul adresei MAC a cărui adresă IP este 192.168.56.1.
Pasul 5:
Odată ce atacatorul are acces, încearcă să stabilească o conexiune reală. Din captura de ecran dată, putem vedea că stabilirea conexiunii HTTP este încercată de la atacator. Există o conexiune TCP în interiorul HTTP, ceea ce înseamnă că ar trebui să existe o strângere de mână în 3 căi. Acestea sunt schimburile de pachete pentru TCP:
SYN -> SYN+ACK -> ACK.
Din captura de ecran dată, putem vedea că atacatorul reîncearcă pachetul SYN de mai multe ori pe diferite porturi. Numărul de cadru de la 3460 la 3469. Numărul pachetului 3469 SYN este pentru portul 80, care este HTTP.
Pasul 6:
Prima strângere de mână TCP reușită este afișată la următoarele numere de pachet din captura de ecran dată:
4488: cadru SYN de la atacator
4489: cadru SYN+ACK de la 192.168.56.101
4490: cadru ACK de la atacator
Pasul 7:
Odată ce conexiunea TCP are succes, atacatorul poate stabili conexiunea HTTP [numărul de cadru 4491 la 4495] urmată de conexiunea SSH [numărul de cadru 4500 la 4503].
Acum, atacul are suficient control pentru a putea face următoarele:
- Atacul de deturnare a sesiunii
- Omul în mijlocul atacului [MITM]
- Atacul de tip Denial of Service (DoS).
Cum să preveniți atacul de falsificare ARP
Iată câteva protecții care pot fi luate pentru a preveni atacul de falsificare ARP:
- Utilizarea intrărilor „ARP statice”.
- Software de detectare și prevenire a falsificării ARP
- Filtrarea pachetelor
- VPN-uri etc.
De asemenea, am putea opri acest lucru să se întâmple din nou dacă folosim HTTPS în loc de HTTP și folosim securitatea stratului de transport SSL (Secure Socket layer). Acest lucru este astfel încât toate comunicațiile să fie criptate.
Concluzie
Din acest articol, am primit o idee de bază despre atacul de falsificare ARP și despre cum poate accesa resursa oricărui sistem. De asemenea, acum știm cum să oprim acest tip de atac. Aceste informații ajută administratorul de rețea sau orice utilizator de sistem să se protejeze de atacul de falsificare ARP.