Værktøjer til brug i ARP Spoofing Attack
Der er mange værktøjer som Arpspoof, Cain & Abel, Arpoison og Ettercap, som er tilgængelige for at starte ARP-spoofing.
Her er skærmbilledet for at vise, hvordan de nævnte værktøjer kan sende ARP-anmodningen omstridt:
ARP Spoofing Attack i detaljer
Lad os se nogle skærmbilleder og forstå ARP-spoofing trin for trin:
Trin 1 :
Angriberens forventning er at få ARP-svaret, så det kan lære ofrets MAC-adresse. Hvis vi nu går videre i det givne skærmbillede, kan vi se, at der er 2 ARP-svar fra IP-adresserne 192.168.56.100 og 192.168.56.101. Efter dette opdaterer offeret [192.168.56.100 og 192.168.56.101] sin ARP-cache, men forespurgte ikke tilbage. Så indtastningen i ARP-cachen bliver aldrig rettet.
ARP-anmodningspakkenumrene er 137 og 138. ARP-svarpakkenumrene er 140 og 143.
Angriberen finder således sårbarheden ved at lave ARP-spoofing. Dette kaldes 'angrebets indtræden'.
Trin 2:
Pakkenumrene er 141, 142 og 144, 146.
Fra den tidligere aktivitet har angriberen nu gyldige MAC-adresser på 192.168.56.100 og 192.168.56.101. Det næste trin for angriberen er at sende ICMP-pakken til offerets IP-adresse. Og vi kan se på det givne skærmbillede, at angriberen sendte en ICMP-pakke og fik et ICMP-svar fra 192.168.56.100 og 192.168.56.101. Det betyder, at begge IP-adresser [192.168.56.100 og 192.168.56.101] er tilgængelige.
Trin 3:
Vi kan se, at der er den sidste ARP-anmodning for 192.168.56.101 IP-adresse for at bekræfte, at værten er aktiv, og den har den samme MAC-adresse på 08:00:27:dd:84:45.
Det angivne pakkenummer er 3358.
Trin 4:
Der er endnu en ICMP-anmodning og -svar med IP-adressen 192.168.56.101. Pakkenumrene er 3367 og 3368.
Vi kan herfra tro, at angriberen er rettet mod offeret, hvis IP-adresse er 192.168.56.101.
Nu når enhver information, der kommer fra IP-adressen 192.168.56.100 eller 192.168.56.101 til IP 192.168.56.1, til MAC-adresseangriberen, hvis IP-adresse er 192.168.56.1.
Trin 5:
Når først angriberen har adgang, forsøger den at etablere en egentlig forbindelse. Fra det givne skærmbillede kan vi se, at etableringen af HTTP-forbindelse forsøges fra angriberen. Der er en TCP-forbindelse inde i HTTP, hvilket betyder, at der skal være et 3-VEJS-håndtryk. Dette er pakkeudvekslingerne for TCP:
SYN -> SYN+ACK -> ACK.
Fra det givne skærmbillede kan vi se, at angriberen prøver SYN-pakken igen flere gange på forskellige porte. Rammenummeret 3460 til 3469. Pakkenummeret 3469 SYN er for port 80, som er HTTP.
Trin 6:
Det første vellykkede TCP-håndtryk vises ved følgende pakkenumre fra det givne skærmbillede:
4488: SYN-ramme fra angriber
4489: SYN+ACK stel fra 192.168.56.101
4490: ACK-ramme fra angriber
Trin 7:
Når først TCP-forbindelsen er vellykket, er angriberen i stand til at etablere HTTP-forbindelsen [rammenummer 4491 til 4495] efterfulgt af SSH-forbindelsen [rammenummer 4500 til 4503].
Nu har angrebet nok kontrol, så det kan gøre følgende:
- Session kapring angreb
- Mand i midterangrebet [MITM]
- Denial of Service (DoS) angreb
Sådan forhindrer du ARP-spoofing-angrebet
Her er nogle beskyttelser, der kan tages for at forhindre ARP-spoofing-angrebet:
- Brug af 'Statisk ARP'-poster
- ARP spoofing detektion og forebyggelse software
- Pakkefiltrering
- VPN'er osv.
Vi kan også forhindre, at dette sker igen, hvis vi bruger HTTPS i stedet for HTTP og bruger SSL (Secure Socket Layer) transportlagssikkerhed. Dette er for at al kommunikation er krypteret.
Konklusion
Fra denne artikel fik vi en grundlæggende idé om ARP-spoofing-angreb, og hvordan det kan få adgang til ethvert systems ressource. Vi ved også nu, hvordan man stopper denne form for angreb. Disse oplysninger hjælper netværksadministratoren eller enhver systembruger med at beskytte mod ARP-spoofingangreb.