Tööriistad, mida kasutada ARP võltsimise rünnaku korral
ARP-i võltsimise alustamiseks on saadaval palju tööriistu, nagu Arpspoof, Cain & Abel, Arpoison ja Ettercap.
Siin on ekraanipilt, mis näitab, kuidas mainitud tööriistad saavad ARP-päringu vaieldamatult saata:
ARP võltsimisrünnak üksikasjalikult
Vaatame mõnda ekraanipilti ja mõistame samm-sammult ARP-i võltsimist:
Samm 1 :
Ründaja ootab ARP-vastust, et see saaks teada ohvri MAC-aadressi. Kui nüüd antud ekraanipildil edasi minna, näeme, et IP-aadressidelt 192.168.56.100 ja 192.168.56.101 on 2 ARP-vastust. Pärast seda värskendab ohver [192.168.56.100 ja 192.168.56.101] oma ARP-vahemälu, kuid ei küsinud tagasi. Seega ei parandata kunagi ARP-vahemälu kirjet.
ARP päringu pakettide numbrid on 137 ja 138. ARP vastuse pakettide numbrid on 140 ja 143.
Seega leiab ründaja haavatavuse, tehes ARP-i võltsimise. Seda nimetatakse 'rünnaku sisenemiseks'.
2. samm:
Pakettide numbrid on 141, 142 ja 144, 146.
Alates eelmisest tegevusest on ründajal nüüd kehtivad MAC-aadressid 192.168.56.100 ja 192.168.56.101. Ründaja järgmine samm on ICMP-paketi saatmine ohvri IP-aadressile. Ja antud ekraanipildilt näeme, et ründaja saatis ICMP paketi ja sai ICMP vastuse numbritelt 192.168.56.100 ja 192.168.56.101. See tähendab, et mõlemad IP-aadressid [192.168.56.100 ja 192.168.56.101] on kättesaadavad.
3. samm:
Näeme, et on olemas viimane ARP-päring 192.168.56.101 IP-aadressi jaoks, mis kinnitab, et host on aktiivne ja sellel on sama MAC-aadress 08:00:27:dd:84:45.
Antud paketi number on 3358.
4. samm:
IP-aadressiga 192.168.56.101 on veel üks ICMP päring ja vastus. Pakettide numbrid on 3367 ja 3368.
Siit võib arvata, et ründaja sihikule võtab ohvri, kelle IP-aadress on 192.168.56.101.
Nüüd jõuab kogu teave, mis pärineb IP-aadressilt 192.168.56.100 või 192.168.56.101 kuni IP 192.168.56.1, MAC-aadressi ründajani, kelle IP-aadress on 192.168.56.1.
5. samm:
Kui ründajal on juurdepääs, proovib ta luua tegelikku ühendust. Antud ekraanipildilt näeme, et ründaja üritab HTTP-ühendust luua. HTTP-s on TCP-ühendus, mis tähendab, et peaks toimuma 3-WAY käepigistus. Need on TCP paketivahetused:
SYN -> SYN+ACK -> ACK.
Antud ekraanipildilt näeme, et ründaja proovib SYN-paketti mitu korda erinevates portides uuesti kasutada. Raami number 3460 kuni 3469. Paketi number 3469 SYN on pordi 80 jaoks, mis on HTTP.
6. samm:
Esimest edukat TCP-käepigistust näidatakse antud ekraanipildil järgmiste paketinumbrite juures:
4488: SYN-kaader ründajalt
4489: SYN+ACK kaader alates 192.168.56.101
4490: ACK-raam ründajalt
7. samm:
Kui TCP-ühendus on edukas, saab ründaja luua HTTP-ühenduse [kaadri number 4491 kuni 4495], millele järgneb SSH-ühendus [kaadri number 4500 kuni 4503].
Nüüd on rünnakul piisavalt kontrolli, et see saaks teha järgmist.
- Seansi kaaperdamise rünnak
- Mees keskel rünnak [MITM]
- Teenuse keelamise (DoS) rünnak
Kuidas vältida ARP võltsimise rünnakut
Siin on mõned kaitsemeetmed, mida saab kasutada ARP-i võltsimise rünnaku vältimiseks:
- 'Staatilise ARP' kirjete kasutamine
- ARP võltsimise tuvastamise ja ennetamise tarkvara
- Pakettide filtreerimine
- VPN-id jne.
Samuti saaksime selle kordumise peatada, kui kasutame HTTP asemel HTTPS-i ja kasutame SSL-i (Secure Socket layer) transpordikihi turvalisust. See on nii, et kogu suhtlus on krüpteeritud.
Järeldus
Sellest artiklist saime põhiidee ARP-i võltsimise rünnaku kohta ja selle kohta, kuidas see pääseb juurde mis tahes süsteemi ressursile. Samuti teame nüüd, kuidas sellist rünnakut peatada. See teave aitab võrguadministraatoril või mis tahes süsteemi kasutajal kaitsta end ARP-i võltsimise rünnaku eest.