Анализ атаки ARP-спуфинга в Wireshark

Analiz Ataki Arp Spufinga V Wireshark



Возможно, мы слышали о многих сетевых атаках. Спуфинг ARP — одна из многих сетевых атак. Спуфинг ARP — это механизм, при котором злоумышленник отправляет ARP-запрос в локальную сеть. Если от жертвы приходит какой-либо ответ ARP, MAC-адрес злоумышленника обновляется IP-адресом другого реального хоста, так что фактический трафик направляется в систему злоумышленника, а не в реальную систему. В этой статье давайте узнаем больше об атаке с подменой ARP.

Инструменты для использования в атаке с подменой ARP

Существует множество инструментов, таких как Arpspoof, Cain & Abel, Arpoison и Ettercap, которые доступны для запуска спуфинга ARP.

Вот скриншот, показывающий, как упомянутые инструменты могут спорно отправлять запрос ARP:









Атака подмены ARP в деталях

Давайте посмотрим на несколько скриншотов и пошагово разберемся с подделкой ARP:



Шаг 1 :





Злоумышленник ожидает получить ответ ARP, чтобы он мог узнать MAC-адрес жертвы. Теперь, если мы пойдем дальше на данном снимке экрана, мы увидим, что есть 2 ответа ARP с IP-адресов 192.168.56.100 и 192.168.56.101. После этого жертва [192.168.56.100 и 192.168.56.101] обновляет свой ARP-кэш, но не отправляет запросы. Таким образом, запись в кеше ARP никогда не исправляется.

Номера пакетов запроса ARP — 137 и 138. Номера пакетов ответа ARP — 140 и 143.



Таким образом, злоумышленник находит уязвимость, выполняя спуфинг ARP. Это называется «вход в атаку».

Шаг 2:
Номера пакетов 141, 142 и 144, 146.

Из предыдущего действия у злоумышленника теперь есть действительные MAC-адреса 192.168.56.100 и 192.168.56.101. Следующим шагом злоумышленника является отправка ICMP-пакета на IP-адрес жертвы. И на приведенном скриншоте видно, что злоумышленник отправил ICMP-пакет и получил ICMP-ответ от 192.168.56.100 и 192.168.56.101. Это означает, что оба IP-адреса [192.168.56.100 и 192.168.56.101] доступны.

Шаг 3:

Мы видим, что есть последний запрос ARP для IP-адреса 192.168.56.101, чтобы подтвердить, что хост активен и имеет тот же MAC-адрес 08:00:27:dd:84:45.

Данный номер пакета 3358.

Шаг 4:

Есть еще один ICMP-запрос и ответ с IP-адресом 192.168.56.101. Номера пакетов 3367 и 3368.

Отсюда мы можем подумать, что злоумышленник нацелился на жертву с IP-адресом 192.168.56.101.

Теперь любая информация, поступающая с IP-адреса 192.168.56.100 или 192.168.56.101 на IP-адрес 192.168.56.1, достигает злоумышленника с MAC-адресом, чей IP-адрес равен 192.168.56.1.

Шаг 5:

Получив доступ, злоумышленник пытается установить реальное соединение. На приведенном снимке экрана видно, что злоумышленник пытается установить HTTP-соединение. Внутри HTTP есть TCP-соединение, что означает, что должно быть трехстороннее рукопожатие. Это обмен пакетами для TCP:

SYN -> SYN+ACK -> ACK.

На приведенном снимке экрана видно, что злоумышленник несколько раз повторяет попытку передачи SYN-пакета на разных портах. Номер кадра от 3460 до 3469. Номер пакета 3469 SYN предназначен для порта 80, который является HTTP.

Шаг 6:

Первое успешное рукопожатие TCP показано под следующими номерами пакетов на данном снимке экрана:

4488: кадр SYN от злоумышленника
4489: кадр SYN+ACK от 192.168.56.101
4490: Кадр ACK от злоумышленника

Шаг 7:

После успешного TCP-подключения злоумышленник может установить HTTP-соединение [номер кадра с 4491 по 4495], а затем SSH-соединение [номер кадра с 4500 по 4503].

Теперь у атаки достаточно контроля, чтобы она могла сделать следующее:

  • Атака с перехватом сеанса
  • Атака человека посередине [MITM]
  • Атака отказа в обслуживании (DoS)

Как предотвратить атаку ARP Spoofing

Вот некоторые меры защиты, которые можно предпринять для предотвращения атаки с подменой ARP:

  1. Использование записей «Статический ARP»
  2. Программное обеспечение для обнаружения и предотвращения спуфинга ARP
  3. Пакетная фильтрация
  4. VPN и т. д.

Кроме того, мы могли бы предотвратить повторение этого, если бы использовали HTTPS вместо HTTP и использовали безопасность транспортного уровня SSL (уровень защищенных сокетов). Это делается для того, чтобы все сообщения были зашифрованы.

Заключение

Из этой статьи мы получили некоторое базовое представление об атаке с подменой ARP и о том, как она может получить доступ к любому системному ресурсу. Кроме того, теперь мы знаем, как остановить такого рода атаки. Эта информация помогает сетевому администратору или любому системному пользователю защититься от атаки подмены ARP.