Was ist ARP-Spoofing?Die Technik ARP-Spoofing Es besteht im Wesentlichen darin, eine Design-Schwachstelle im ARP-Protokoll auszunutzen und den ARP-Cache in den Hosts zu implementieren.
Auf der Netzwerkschicht (ISO / OSI) sind die Quell- und Zielsysteme durch ihre IP-Adressen gut definiert, aber auf der Link-Schicht-Ebene ist es notwendig, die MAC-Adressen jedes Hosts zu bestimmen.
ARP (RFC 826) ist ein Adressübersetzungsprotokoll zwischen zwei verschiedenen Adressierungsschemata, wie es zwischen dem IP-Protokoll und dem MAC-Protokoll der Fall ist. Grundsätzlich besteht seine Funktion in einem Ethernet-Netzwerk darin, die MAC-Adresse einer Station anhand ihrer IP-Adresse zu ermitteln. Die Übersetzung erfolgt durch einen Austausch von Anfragenachrichten und ARP-Antworten.
Der grundlegende Mechanismus funktioniert, indem eine 28-Byte-Nachricht an die Broadcast-Adresse gesendet wird und nur der richtige Host direkt auf den Absender der Anfrage antwortet.
Damit die ARP-Anfrage alle Geräte erreicht, wird die Ziel-MAC-Adresse FF: FF: FF: FF: FF: FF (A.K.A. Broadcast MAC address) angegeben. Wenn ein Switch einen für FF: FF: FF: FF: FF: FF bestimmten Frame empfängt, leitet er diesen Frame durch alle anderen Ports weiter (die Absicht ist, dass alle Hosts auf die Frage „hören“).
VERGRÖSSERN
Die erhaltene Antwort wird verwendet, um die Ziel-MAC-Adresse zu bestimmen und somit kann die Übertragung beginnen.
VERGRÖSSERN
Die erhaltene IP-MAC-Beziehung wird in einer Tabelle mit ARP-Einträgen (ARP-Cache) so zwischengespeichert, dass Bob, wenn er in Zukunft erneut versucht, Daten an Alice zu senden, nur die ARP-Cache-Tabelle konsultieren muss, um zu Alices MAC ermitteln, keine Notwendigkeit, "nochmals zu fragen".
Abhängig von der Betriebssystemimplementierung können diese ARP-Cache-Einträge basierend auf ihrer letzten Verwendung, dem letzten „Beobachten“ der MAC-Adresse usw. aktualisiert werden. Sie können auch statisch durch manuelle Konfiguration eingestellt werden.
In allen Fällen validiert das ARP-Protokoll die in der ARP-Antwort erhaltenen Daten nicht, das heißt, wenn Bob eine ARP-Antwort empfängt, die anzeigt, dass ein bestimmter MAC an Alices IP gebunden ist, akzeptiert Bob die Informationen "ohne zu zögern". Sie dürfen ARP-Antworten ohne vorherige Frage senden und werden als „gratuitous ARP“-Nachrichten bezeichnet. Diese Nachrichten werden von den Systemen verwendet, die sie empfangen, um die Informationen in der ARP-Cache-Tabelle zu aktualisieren.
Ein Angreifer kann ohne vorherige Frage absichtlich ARP-Antworten senden („gratuitous arp“) und angeben, dass sein eigener MAC der IP von Alice entspricht, und Bob wird diese Antworten als „Last-Minute-Information“ akzeptieren und den Eintrag im ARP aktualisieren Cache-Tabelle für Alices IP mit dem MAC des Angreifers.
Die ARP-Spoofing-Technik besteht darin, falsche Informationen bezüglich der MAC-IP-Übersetzung zu senden; Wenn Bob diese falschen Informationen verwendet, um seinen ARP-Cache zu aktualisieren, tritt eine ARP-Poisoning-Situation (ARP Poisoning) auf.
Diese Situation führt dazu, dass die Frames, die Bob an Alices IP sendet, vom Switch an den Port des Angreifers geliefert werden (denken Sie daran, dass der Switch MACs betrachtet).
Wenn nun der Angreifer dieselbe Technik auf Alice anwendet und Alice davon überzeugt, dass die MAC-Adresse des Angreifers mit Bobs IP-Adresse übereinstimmt, dann hat der Angreifer Bob davon überzeugt, dass er Alice ist und Alice, dass er Bob ist, und erreicht eine Zwischensituation (Man in the Mitte).
Es liegt in der Verantwortung des Angreifers, die Frames an jedes System weiterzuleiten, um den Verkehr aktiv zu halten und Kommunikationsprobleme in der oberen Schicht zu vermeiden. Darüber hinaus kann der Angreifer den Datenverkehr inspizieren, sensible Daten erhalten, Informationen manipulieren usw.
Beteiligte Systeme
Nutzungssysteme zum TestenBob AA: BB: CC: 11: 22: 33 (192.168.0.1/24)
Alice AA: BB: CC: 22: 33: 44 (192.168.0.2/24)
Angreifer AA: BB: CC: 88: 88: 88 (192.168.0.3/24)
Für das angreifende System wird es verwendet GNU / Linux Ubuntu und für die Opfer werde ich Windows XP SP3 verwenden, aber das Betriebssystem des Opfers spielt keine Rolle. Zunächst muss ein Tool verwendet werden, mit dem ARP-Spoofing-Nachrichten an Opfer gesendet werden können, um ARP-Poisoning zu testen. Für dieses Tutorial verwende ich "dsniff", das im Grunde ein Toolkit zum Passwort-Sniffing ist.
Zu den Tools, die in der dsniff-Paket, es ist gefunden"Arpspoof“, die im Grunde ARP-Spoofing bei dem designierten Opfer durchführt.
Zu dsniff installieren Geben Sie ein Terminal ein:
$ sudo apt-get install dsniffDamit installierst du es.
Analyse vor dem Angriff
Im ersten Moment hat Bob einen Eintrag in seinem ARP-Cache, der angibt, dass Alices IP-Adresse dem MAC AA entspricht: BB: CC: 22: 33: 44.
Um die ARP-Cache-Tabelle anzuzeigen, gehen Sie zu:
- Start
- Laufen
- cmd
Schreiben Sie im Windows-Terminal:
Großes ZeltSie erhalten den aktuellen Inhalt von Bobs ARP-Cache-Tabelle:
Ähnlich auf Alices PC:
Attacke
In erster Linie ist die Weiterleitungsbit im Angreifersystem:
# echo 1> / proc / sys / net / ipv4 / ip_forwardAuf diese Weise werden Paketverluste vermieden, Bob und Alice können so interagieren, als ob nichts passiert wäre.
Das Arpspoof-Befehl wird wie folgt verwendet:
# arpspoof -i INTERFAZ_LAN -t IP_VICTIMA_POISONING IP_VICTIMA_SPOOFEDWoher:
INTERFAZ_LANNetzwerkkarte, die wir für den Angriff verwenden, wird die MAC-Adresse dieser Schnittstelle für die ARP-Spoofing-Nachrichten verwendet.
IP_VICTIMA_POISONINGEs ist die IP-Adresse des Opfers, dessen ARP-Cache-Tabelle vergif.webptet wird.
IP_VICTIMA_SPOOFEDEs ist die IP-Adresse, die den Eintrag in der ARP-Cache-Tabelle des Opfers angibt, dem der MAC des Angreifers zugeordnet wird.
Um Alice davon zu überzeugen, dass Bob den MAC AA hat: BB: CC: 88: 88: 88, führen Sie im Angreifer-Systemterminal arpspoof wie folgt aus:
# arpspoof -i eth0 -t 192.168.0.2 192.168.0.1ARP-Antwortnachrichten werden mit manipulierten Informationen an Alice gesendet:
Starten Sie EIN ANDERES Terminal (das vorherige sollte nicht unterbrochen werden) und führen Sie den Angriff in die entgegengesetzte Richtung aus, um Bob davon zu überzeugen, dass Alice den MAC hat AA: BB: CC: 88: 88: 88, im Angreifer-Systemterminal führen Sie Arpspoof wie folgt aus :
# arpspoof -i eth0 -t 192.168.0.1 192.168.0.2ARP-Antwortnachrichten werden mit manipulierten Informationen an Bob gesendet:
Ab diesem Zeitpunkt behält der Angreifer den Status eines Vermittlers (MitM) bei, indem er manipulierte ARP-Nachrichten sendet:
VERGRÖSSERN
Durch Wiederholen der ersten Schritte kann überprüft werden, wie die ARP-Cache-Einträge von Bob und Alice mit dem MAC des Angreifers aktualisiert wurden:
Bobs ARP-Cache:
Alices ARP-Cache:
Die Frames, die Bob an Alice sendet, werden dem Angreifer zugestellt und der Angreifer leitet sie an Alice weiter. Auf die gleiche Weise werden die von Alice gesendeten Frames an den Angreifer geliefert und er leitet sie an Bob weiter.
VERGRÖSSERN
Der Angreifer könnte mit seiner Netzwerkkarte im Promiscuous-Modus Datenverkehr erfassen und beispielsweise Zugangsdaten zu einem Webportal erhalten, das kein SSL verwendet.
In der folgenden Traffic-Erfassung hat beispielsweise ein Angreifer die Zugangsdaten zu einem PHPMyAdmin-Portal erhalten: (Benutzer „root“, Passwort „ad00“)
VERGRÖSSERN
Um den Angriff zu beenden, ohne die Kommunikation zu unterbrechen, stoppt der Angreifer schließlich das "arpspoof"-Terminal durch Drücken von Tasten:
Strg + C
Und das Tool sendet automatisch ARP-Anfragen an jedes Opfer, damit die ARP-Cache-Informationen mit den richtigen Daten aktualisiert werden.
Zu diesem Zeitpunkt gibt der Angreifer die Kommunikation frei und kann sich vom Netzwerk trennen, um den bereits erhaltenen Verkehr zu analysieren.
Einige Antivirensysteme überwachen die Änderungen von Einträgen in der ARP-Cache-Tabelle, sogar für GNU / Linux gibt es ein Tool namens „ARPWatch„Das warnt bei einer Änderung der ARP-IP-Beziehung in den ARP-Cache-Tabellen des Systems.
In einem anderen Artikel, mögliche Techniken zur Vorbeugung MitM-Angriffe basierend auf ARP-Spoofing und ARP-Poisoning.
Hat dir dieses Tutorial gefallen und geholfen?Sie können den Autor belohnen, indem Sie diesen Knopf drücken, um ihm einen positiven Punkt zu geben
