Инструменты для использования в атаке с подменой ARP
Существует множество инструментов, таких как Arpspoof, Cain & Abel, Arpoison и Ettercap, которые доступны для запуска спуфинга ARP.
Вот скриншот, показывающий, как упомянутые инструменты могут спорно отправлять запрос ARP:
Атака подмены ARP в деталях
Давайте посмотрим на несколько скриншотов и пошагово разберемся с подделкой ARP:
Шаг 1 :
Злоумышленник ожидает получить ответ ARP, чтобы он мог узнать MAC-адрес жертвы. Теперь, если мы пойдем дальше на данном снимке экрана, мы увидим, что есть 2 ответа ARP с IP-адресов 192.168.56.100 и 192.168.56.101. После этого жертва [192.168.56.100 и 192.168.56.101] обновляет свой ARP-кэш, но не отправляет запросы. Таким образом, запись в кеше ARP никогда не исправляется.
Номера пакетов запроса ARP — 137 и 138. Номера пакетов ответа ARP — 140 и 143.
Таким образом, злоумышленник находит уязвимость, выполняя спуфинг ARP. Это называется «вход в атаку».
Шаг 2:
Номера пакетов 141, 142 и 144, 146.
Из предыдущего действия у злоумышленника теперь есть действительные MAC-адреса 192.168.56.100 и 192.168.56.101. Следующим шагом злоумышленника является отправка ICMP-пакета на IP-адрес жертвы. И на приведенном скриншоте видно, что злоумышленник отправил ICMP-пакет и получил ICMP-ответ от 192.168.56.100 и 192.168.56.101. Это означает, что оба IP-адреса [192.168.56.100 и 192.168.56.101] доступны.
Шаг 3:
Мы видим, что есть последний запрос ARP для IP-адреса 192.168.56.101, чтобы подтвердить, что хост активен и имеет тот же MAC-адрес 08:00:27:dd:84:45.
Данный номер пакета 3358.
Шаг 4:
Есть еще один ICMP-запрос и ответ с IP-адресом 192.168.56.101. Номера пакетов 3367 и 3368.
Отсюда мы можем подумать, что злоумышленник нацелился на жертву с IP-адресом 192.168.56.101.
Теперь любая информация, поступающая с IP-адреса 192.168.56.100 или 192.168.56.101 на IP-адрес 192.168.56.1, достигает злоумышленника с MAC-адресом, чей IP-адрес равен 192.168.56.1.
Шаг 5:
Получив доступ, злоумышленник пытается установить реальное соединение. На приведенном снимке экрана видно, что злоумышленник пытается установить HTTP-соединение. Внутри HTTP есть TCP-соединение, что означает, что должно быть трехстороннее рукопожатие. Это обмен пакетами для TCP:
SYN -> SYN+ACK -> ACK.
На приведенном снимке экрана видно, что злоумышленник несколько раз повторяет попытку передачи SYN-пакета на разных портах. Номер кадра от 3460 до 3469. Номер пакета 3469 SYN предназначен для порта 80, который является HTTP.
Шаг 6:
Первое успешное рукопожатие TCP показано под следующими номерами пакетов на данном снимке экрана:
4488: кадр SYN от злоумышленника
4489: кадр SYN+ACK от 192.168.56.101
4490: Кадр ACK от злоумышленника
Шаг 7:
После успешного TCP-подключения злоумышленник может установить HTTP-соединение [номер кадра с 4491 по 4495], а затем SSH-соединение [номер кадра с 4500 по 4503].
Теперь у атаки достаточно контроля, чтобы она могла сделать следующее:
- Атака с перехватом сеанса
- Атака человека посередине [MITM]
- Атака отказа в обслуживании (DoS)
Как предотвратить атаку ARP Spoofing
Вот некоторые меры защиты, которые можно предпринять для предотвращения атаки с подменой ARP:
- Использование записей «Статический ARP»
- Программное обеспечение для обнаружения и предотвращения спуфинга ARP
- Пакетная фильтрация
- VPN и т. д.
Кроме того, мы могли бы предотвратить повторение этого, если бы использовали HTTPS вместо HTTP и использовали безопасность транспортного уровня SSL (уровень защищенных сокетов). Это делается для того, чтобы все сообщения были зашифрованы.
Заключение
Из этой статьи мы получили некоторое базовое представление об атаке с подменой ARP и о том, как она может получить доступ к любому системному ресурсу. Кроме того, теперь мы знаем, как остановить такого рода атаки. Эта информация помогает сетевому администратору или любому системному пользователю защититься от атаки подмены ARP.