Учебники

9) отравление ARP

В этом уроке мы узнаем –

Что такое IP и MAC-адреса

IP-адрес является аббревиатурой от адреса интернет-протокола. Адрес интернет-протокола используется для однозначной идентификации компьютера или устройства, такого как принтеры, диски хранения в компьютерной сети. В настоящее время существует две версии IP-адресов. IPv4 использует 32-битные числа. Из-за массового роста Интернета был разработан IPv6, в котором используются 128-битные числа.

Адреса IPv4 форматируются в четыре группы чисел, разделенных точками. Минимальное число равно 0, а максимальное – 255. Пример адреса IPv4 выглядит следующим образом;

127.0.0.1

Адреса IPv6 форматируются группами по шесть чисел, разделенных полными двоеточиями. Номера групп записываются в виде 4 шестнадцатеричных цифр. Пример адреса IPv6 выглядит следующим образом;

2001: 0db8: 85a3: 0000: 0000: 8a2e: 0370: 7334

Чтобы упростить представление IP-адресов в текстовом формате, начальные нули опущены, а группа нулей завершена опущена. Вышеуказанный адрес в упрощенном формате отображается как;

2001: db8: 85a3 ::: 8a2e: 370: 7334

MAC-адрес является аббревиатурой от адреса управления доступом к среде. MAC-адреса используются для уникальной идентификации сетевых интерфейсов для связи на физическом уровне сети. MAC-адреса обычно встроены в сетевую карту.

MAC-адрес похож на серийный номер телефона, а IP-адрес – на телефонный номер.

Упражнение

Мы предполагаем, что вы используете окна для этого упражнения. Откройте командную строку.

Введите команду

ipconfig /all

Вы получите подробную информацию обо всех сетевых подключениях, доступных на вашем компьютере. Результаты, показанные ниже, показывают, что широкополосный модем показывает MAC-адрес и формат IPv4, а беспроводная сеть – формат IPv6.

Окончательный путеводитель по сети Sniffers

Окончательный путеводитель по сети Sniffers

Что такое отравление ARP?

ARP является аббревиатурой для протокола разрешения адресов . Он используется для преобразования IP-адреса в физический адрес [MAC-адрес] на коммутаторе. Хост отправляет широковещательную рассылку ARP по сети, а компьютер-получатель отвечает своим физическим адресом [MAC-адрес]. Разрешенный IP / MAC-адрес затем используется для связи. Отравление ARP отправляет поддельные MAC-адреса на коммутатор, чтобы он мог связать поддельные MAC-адреса с IP-адресом подлинного компьютера в сети и перехватить трафик .

Контрольные меры отравления ARP

Статические записи ARP : они могут быть определены в локальном кэше ARP, а коммутатор сконфигурирован так, чтобы игнорировать все пакеты автоматического ответа ARP. Недостаток этого метода в том, что его трудно поддерживать в больших сетях. Сопоставление IP / MAC-адресов должно распространяться на все компьютеры в сети.

Программное обеспечение для обнаружения отравлений ARP : эти системы могут использоваться для перекрестной проверки разрешения IP / MAC-адресов и подтверждения их подлинности. Несертифицированные разрешения IP / MAC-адресов могут быть заблокированы.

Безопасность операционной системы : эта мера зависит от используемой операционной системы. Ниже приведены основные методы, используемые различными операционными системами.

  • На основе Linux : они работают, игнорируя незапрошенные ответные пакеты ARP.
  • Microsoft Windows : поведение кэша ARP можно настроить через реестр. В следующем списке перечислены некоторые программы, которые можно использовать для защиты сетей от перехвата;
  • AntiARP – обеспечивает защиту как от пассивного, так и от активного сниффинга
  • Agnitum Outpost Firewall – обеспечивает защиту от пассивного прослушивания
  • XArp – обеспечивает защиту как от пассивного, так и от активного сниффинга
  • Mac OS : ArpGuard может использоваться для обеспечения защиты. Он защищает как от активного, так и от пассивного вдыхания.

 

Действия по взлому: настройка записей ARP в Windows

Мы используем Windows 7 для этого упражнения, но команды должны работать и на других версиях окон.

Откройте командную строку и введите следующую команду

arp –a

ВОТ,

  • Апр вызывает программу настройки ARP, расположенную в каталоге Windows / System32
  • -a  – параметр для отображения содержимого кэша ARP

Вы получите результаты, аналогичные следующим

Окончательный путеводитель по сети Sniffers

Примечание . Динамические записи добавляются и удаляются автоматически при использовании сеансов TCP / IP с удаленными компьютерами.

Статические записи добавляются вручную и удаляются при перезагрузке компьютера, перезагрузке сетевой карты или других действиях, которые на него влияют.

Добавление статических записей

Откройте командную строку, затем используйте команду ipconfig / all, чтобы получить IP-адрес и MAC-адрес.

Окончательный путеводитель по сети Sniffers

MAC-адрес представлен с использованием физического адреса, а IP-адрес – IPv4Address.

Введите следующую команду

arp –s  192.168.1.38 60-36-DD-A6-C5-43

Окончательный путеводитель по сети Sniffers

Примечание: IP и MAC-адрес будут отличаться от тех, которые используются здесь. Это потому что они уникальны.

Используйте следующую команду для просмотра кэша ARP

arp –a

Вы получите следующие результаты

Окончательный путеводитель по сети Sniffers

Обратите внимание, что IP-адрес был преобразован в предоставленный нами MAC-адрес и имеет статический тип.

Удаление записи кэша ARP

Используйте следующую команду, чтобы удалить запись

arp –d 192.168.1.38

Окончательный путеводитель по сети Sniffers

PS ARP отравление работает путем отправки поддельных MAC-адресов на коммутатор