Hvordan hackere bruker adresseløsningsprotokoll til penetreringsnettverk

Hackere kan bruke ARP (Address Resolution Protocol) som kjører på nettverket ditt for å få systemene til å vises som ditt system eller en annen autorisert vert på nettverket ditt. Vær oppmerksom på dette mens du utvikler dine sikkerhetsmodeller.

ARP spoofing

Et stort antall ARP-forespørsler kan være et tegn på et ARP spoofing angrep på nettverket ditt.

En klient som kjører et program, for eksempel dsniff eller Cain & Abel, kan endre ARP-tabellene - tabellene som lagrer IP-adresser til media access contr ol adressekartlegging - på nettverksverter. Dette fører til at offerdatamaskiner tror at de trenger å sende trafikk til angriperens datamaskin i stedet for den riktige destinasjonsdatamaskinen når de kommuniserer på nettverket.

Spoofed ARP-svar kan sendes til en bryter, som bytter bryteren til kringkastingsmodus og gjør det i hovedsak til et nav. Når dette skjer, kan en angriper snuse hver pakke som går gjennom bryteren og fange alt og alt fra nettverket.

Her er et typisk ARP-spoofing-angrep med en hackers datamaskin (Hacky) og to legitime nettverksbrukernes datamaskiner (Joe og Bob):

1. Hacky gifter ARP-cachene til ofrene Joe og Bob ved å bruke dsniff, ettercap eller et verktøy han skrev.

2. Joe forbinder Hackys MAC-adresse med Bobs IP-adresse.

3. Bob forbinder Hackys MAC-adresse med Joes IP-adresse.

4. Joe's trafikk og Bobs trafikk sendes først til Hackys IP-adresse.

5. Hackys nettverksanalysator fanger Joe's og Bobs trafikk.

Cain & Abel for ARP-forgiftning

Du kan utføre ARP-forgiftning på ditt bytte Ethernet-nettverk for å teste din IPS eller for å se hvor lett det er å skifte bryter til et nav og fange noe med en nettverksanalysator.

Utfør følgende trinn for å bruke Cain & Abel for ARP-forgiftning:

1. Load Cain & Abel, og klikk deretter Sniffer-kategorien for å gå inn i nettverksanalysatormodusen.

2. Klikk på Start / Stop APR-ikonet.

   ARP-gift-ruteprosessen starter og aktiverer den innebygde snifferen.

3. Hvis du blir bedt om det, velg nettverkskortet i vinduet som vises, og klikk deretter OK.

4. Klikk på blå + -ikonet for å legge til verter for å utføre ARP-forgiftning på.

5. I MAC Address Scanner-vinduet som vises, må du forsikre deg om at alle verter i alternativet Subnet er valgt, og klikk deretter OK.

6. Klikk på APR-fanen for å laste APR-siden.

7. Klikk på det hvite rommet under den øverste Status-kolonneoverskriften.

   Dette aktiverer blå + -ikonet.

8. Klikk på blå + ikonet og vinduet New ARP Poison Routing viser vertene oppdaget i trinn 3.

9. Velg standard rute.

   Høyre kolonne fylles med alle de resterende vertene.

   

10. Ctrl + klikk alle vertene i den høyre kolonnen du vil forgifte.

11. Klikk på OK, og ARP-forgiftningsprosessen starter.

    Denne prosessen kan ta alt fra noen få sekunder til noen få minutter, avhengig av nettverksmaskinvaren og hver verters lokale TCP / IP-stabel.

    

12. Du kan bruke Cain & Abels innebygde passordfunksjon for å fange passord som krysser nettverket til og fra ulike verter ved å klikke på fanen Passord.

De foregående trinnene viser hvor enkelt det er å utnytte et sårbarhet og bevise at Ethernet-brytere ikke er alt de er sprakk for å være.

MAC-adressepoofing

MAC-adressespoofing triks bryteren til å tenke at datamaskinen din er noe annet. Du endrer bare datamaskinens MAC-adresse og maskerad som en annen bruker.

Du kan bruke dette trikset til å teste tilgangskontrollsystemer, for eksempel IPS / brannmuren, og til og med kontrollene for operativsystemets innlogging som kontrollerer bestemte MAC-adresser.

UNIX-baserte systemer

I UNIX og Linux kan du spoofe MAC-adresser med ifconfig-verktøyet. Følg disse trinnene:

1. Når du er logget inn som root, bruk ifconfig til å angi en kommando som deaktiverer nettverksgrensesnittet.

   Sett inn nettverksgrensesnittnummeret du vil deaktivere i kommandoen, slik:

   [root @ localhost root] # ifconfig eth0 down
   

2. Skriv inn en kommando for MAC-adressen du vil bruke.

   Sett inn den falske MAC-adressen og nettverksgrensesnittet (eth0) i kommandoen igjen, slik:

[root @ localhost root] # ifconfig eth0 hw ether new_mac_address

Du kan bruke en mer funksjonsrik verktøyet heter GNU MAC Changer for Linux-systemer.

Windows

Du kan bruke regedit til å redigere Windows-registret, eller du kan bruke et pent Windows-verktøy kalt SMAC, noe som gjør MAC-spoofing en enkel prosess. Følg disse trinnene for å bruke SMAC:

1. Legg inn programmet.

2. Velg adapteren du vil endre MAC-adressen til.

3. Skriv inn den nye MAC-adressen i feltene Nye spoofede MAC-adresser og klikk på Oppdater MAC-knappen.

4. Stopp og start nettverkskortet ved å følge disse trinnene:

   • Høyreklikk nettverkskortet i nettverk og oppringingsforbindelser, og velg deretter Deaktiver.

   • Høyreklikk på nytt, og velg deretter Aktiver for at endringen skal tre i kraft.

5. Klikk på Oppdater knappen i SMAC-grensesnittet.

Følg disse trinnene for å reversere Registerendringer med SMAC:

1. Velg adapteren du vil endre MAC-adressen til.

2. Klikk på Fjern MAC-knappen.

3. Stopp og start nettverkskortet ved å følge disse trinnene:

   • Høyreklikk nettverkskortet i nettverk og oppringingsforbindelser, og velg deretter Deaktiver.

   • Høyreklikk på nytt, og velg deretter Aktiver for at endringen skal tre i kraft.

4. Klikk på Oppdater knappen i SMAC-grensesnittet.

   Du bør se den opprinnelige MAC-adressen din på nytt.

Tiltak mot ARP-forgiftning og MAC-adressepoofing-angrep

Noen mottiltak på nettverket ditt kan minimere effekten av et angrep mot ARP- og MAC-adresser:

• Forebygging: Du kan forhindre MAC-adressespoofing hvis din Brytere kan aktivere portsikkerhet for å forhindre automatiske endringer i MAC-adressetabellene.

• Deteksjon: Du kan oppdage disse to typer hack gjennom et IPS eller et frittstående MAC-adresseovervåkingsverktøy.

  Arpwatch er et Linux-basert program som varsler deg via e-post når det oppdager endringer i MAC-adresser knyttet til bestemte IP-adresser på nettverket.