Учебники

Этический взлом — отравление ARP

Июнь 18, 2018

Протокол разрешения адресов (ARP) — это протокол без сохранения состояния, используемый для преобразования IP-адресов в MAC-адреса компьютера. Все сетевые устройства, которым необходимо обмениваться данными по сети, транслируют запросы ARP в системе, чтобы узнать MAC-адреса других машин. ARP Poisoning также известен как ARP Spoofing .

Вот как работает ARP —

  • Когда одна машина должна связаться с другой, она ищет свою таблицу ARP.

  • Если MAC-адрес не найден в таблице, ARP_request транслируется по сети.

  • Все машины в сети будут сравнивать этот IP-адрес с MAC-адресом.

  • Если один из компьютеров в сети идентифицирует этот адрес, он ответит на ARP_request своими IP-адресом и MAC-адресом.

  • Запрашивающий компьютер сохранит адресную пару в своей таблице ARP, и связь будет установлена.

Когда одна машина должна связаться с другой, она ищет свою таблицу ARP.

Если MAC-адрес не найден в таблице, ARP_request транслируется по сети.

Все машины в сети будут сравнивать этот IP-адрес с MAC-адресом.

Если один из компьютеров в сети идентифицирует этот адрес, он ответит на ARP_request своими IP-адресом и MAC-адресом.

Запрашивающий компьютер сохранит адресную пару в своей таблице ARP, и связь будет установлена.

Что такое ARP Spoofing?

ARP-пакеты могут быть подделаны для отправки данных на компьютер злоумышленника.

  • Подмена ARP создает большое количество поддельных пакетов запросов и ответов ARP для перегрузки коммутатора.

  • Коммутатор находится в режиме пересылки, и после того, как таблица ARP заполнена поддельными ответами ARP, злоумышленники могут прослушивать все сетевые пакеты.

Подмена ARP создает большое количество поддельных пакетов запросов и ответов ARP для перегрузки коммутатора.

Коммутатор находится в режиме пересылки, и после того, как таблица ARP заполнена поддельными ответами ARP, злоумышленники могут прослушивать все сетевые пакеты.

Злоумышленники заполняют кэш ARP целевого компьютера поддельными записями, что также называется отравлением . ARP-отравление использует доступ «человек посередине» для отравления сети.

Что такое MITM?

Атака «Человек посередине» (сокращенно MITM, MitM, MIM, MiM, MITMA) подразумевает активную атаку, когда злоумышленник подражает пользователю, создавая соединение между жертвами и отправляя сообщения между ними. В этом случае жертвы думают, что они общаются друг с другом, но на самом деле злоумышленник контролирует общение.

Третье лицо

Существует третье лицо для контроля и мониторинга трафика связи между двумя сторонами. Некоторые протоколы, такие как SSL, служат для предотвращения атак такого типа.

ARP Отравление — Упражнение

В этом упражнении мы использовали BetterCAP для отравления ARP в среде LAN, используя рабочую станцию ​​VMware, на которой мы установили Kali Linux и Ettercap , чтобы прослушивать локальный трафик в LAN.

Для этого упражнения вам понадобятся следующие инструменты —

  • Рабочая станция VMware
  • Kali Linux или Linux Операционная система
  • Ettercap Tool
  • подключение по локальной сети

Примечание. Эта атака возможна в проводных и беспроводных сетях. Вы можете выполнить эту атаку в локальной сети.

Шаг 1 — Установите рабочую станцию ​​VMware и установите операционную систему Kali Linux.

Шаг 2 — Войдите в Kali Linux, используя имя пользователя pass «root, toor».

Шаг 3. Убедитесь, что вы подключены к локальной сети, и проверьте IP-адрес, введя команду ifconfig в терминале.

Ifconfig

Шаг 4 — Откройте терминал и введите «Ettercap –G», чтобы запустить графическую версию Ettercap.

Ettercap

Шаг 5 — Теперь нажмите вкладку «sniff» в строке меню и выберите «unified sniffing» и нажмите OK, чтобы выбрать интерфейс. Мы собираемся использовать «eth0», что означает соединение Ethernet.

Ettercap Input

Шаг 6 — Теперь перейдите на вкладку «hosts» в строке меню и нажмите «scan for hosts». Начнется сканирование всей сети на наличие живых хостов.

Шаг 7 — Далее, нажмите вкладку «хосты» и выберите «список хостов», чтобы увидеть количество хостов, доступных в сети. Этот список также включает адрес шлюза по умолчанию. Мы должны быть осторожны, когда выбираем цели.

Вкладка Хост

Шаг 8 — Теперь мы должны выбрать цели. В MITM нашей целью является хост-машина, а маршрутом будет адрес маршрутизатора для пересылки трафика. При атаке MITM злоумышленник перехватывает сеть и анализирует пакеты. Итак, мы добавим жертву как «цель 1», а адрес маршрутизатора как «цель 2».

В среде VMware шлюз по умолчанию всегда оканчивается на «2», поскольку «1» назначен физической машине.

Шаг 9 — В этом сценарии наша цель — «192.168.121.129», а маршрутизатор — «192.168.121.2». Поэтому мы добавим цель 1 в качестве IP- адреса жертвы и цель 2 в качестве IP-адреса маршрутизатора .

цель

Шаг 10 — Теперь нажмите «MITM» и нажмите «ARP отравление». После этого отметьте опцию «Удаленные подключения Sniff» и нажмите «ОК».

Mitm Attack

Шаг 11 — Нажмите «Пуск» и выберите «Начать нюхать». Это приведет к отравлению ARP в сети, что означает, что мы включили нашу сетевую карту в «беспорядочном режиме», и теперь локальный трафик можно прослушивать.

Примечание. Мы разрешили только прослушивание HTTP с помощью Ettercap, поэтому не ожидайте, что с этим процессом будут прослушиваться HTTPS-пакеты.

Шаг 12 — Теперь пришло время увидеть результаты; если наша жертва зашла на некоторые сайты. Вы можете увидеть результаты на панели инструментов Ettercap.

Результат

Вот как работает нюхание. Вы, должно быть, поняли, как легко получить учетные данные HTTP, просто включив отравление ARP.

ARP Poisoning может привести к огромным потерям в среде компании. Это место, где этические хакеры назначаются для защиты сетей.

Подобно отравлению ARP, существуют и другие атаки, такие как переполнение MAC-адресов, спуфинг MAC-адресов, отравление DNS, отравление ICMP и т. Д., Которые могут привести к значительным потерям в сети.

В следующей главе мы обсудим другой тип атаки, известный как отравление DNS .

50
Share: