Innholdsfortegnelse:
- ARP spoofing
- Cain & Abel for ARP-forgiftning
- MAC-adressepoofing
- UNIX-baserte systemer
- Windows
- Tiltak mot ARP-forgiftning og MAC-adressepoofing-angrep
Video: hvordan hacke msp bruker 2024
Hackere kan bruke ARP (Address Resolution Protocol) som kjører på nettverket ditt for å få systemene til å vises som ditt system eller en annen autorisert vert på nettverket ditt. Vær oppmerksom på dette mens du utvikler dine sikkerhetsmodeller.
ARP spoofing
Et stort antall ARP-forespørsler kan være et tegn på et ARP spoofing angrep på nettverket ditt.
En klient som kjører et program, for eksempel dsniff eller Cain & Abel, kan endre ARP-tabellene - tabellene som lagrer IP-adresser til media access contr ol adressekartlegging - på nettverksverter. Dette fører til at offerdatamaskiner tror at de trenger å sende trafikk til angriperens datamaskin i stedet for den riktige destinasjonsdatamaskinen når de kommuniserer på nettverket.
Spoofed ARP-svar kan sendes til en bryter, som bytter bryteren til kringkastingsmodus og gjør det i hovedsak til et nav. Når dette skjer, kan en angriper snuse hver pakke som går gjennom bryteren og fange alt og alt fra nettverket.
Her er et typisk ARP-spoofing-angrep med en hackers datamaskin (Hacky) og to legitime nettverksbrukernes datamaskiner (Joe og Bob):
-
Hacky gifter ARP-cachene til ofrene Joe og Bob ved å bruke dsniff, ettercap eller et verktøy han skrev.
-
Joe forbinder Hackys MAC-adresse med Bobs IP-adresse.
-
Bob forbinder Hackys MAC-adresse med Joes IP-adresse.
-
Joe's trafikk og Bobs trafikk sendes først til Hackys IP-adresse.
-
Hackys nettverksanalysator fanger Joe's og Bobs trafikk.
Cain & Abel for ARP-forgiftning
Du kan utføre ARP-forgiftning på ditt bytte Ethernet-nettverk for å teste din IPS eller for å se hvor lett det er å skifte bryter til et nav og fange noe med en nettverksanalysator.
Utfør følgende trinn for å bruke Cain & Abel for ARP-forgiftning:
-
Load Cain & Abel, og klikk deretter Sniffer-kategorien for å gå inn i nettverksanalysatormodusen.
-
Klikk på Start / Stop APR-ikonet.
ARP-gift-ruteprosessen starter og aktiverer den innebygde snifferen.
-
Hvis du blir bedt om det, velg nettverkskortet i vinduet som vises, og klikk deretter OK.
-
Klikk på blå + -ikonet for å legge til verter for å utføre ARP-forgiftning på.
-
I MAC Address Scanner-vinduet som vises, må du forsikre deg om at alle verter i alternativet Subnet er valgt, og klikk deretter OK.
-
Klikk på APR-fanen for å laste APR-siden.
-
Klikk på det hvite rommet under den øverste Status-kolonneoverskriften.
Dette aktiverer blå + -ikonet.
-
Klikk på blå + ikonet og vinduet New ARP Poison Routing viser vertene oppdaget i trinn 3.
-
Velg standard rute.
Høyre kolonne fylles med alle de resterende vertene.
-
Ctrl + klikk alle vertene i den høyre kolonnen du vil forgifte.
-
Klikk på OK, og ARP-forgiftningsprosessen starter.
Denne prosessen kan ta alt fra noen få sekunder til noen få minutter, avhengig av nettverksmaskinvaren og hver verters lokale TCP / IP-stabel.
-
Du kan bruke Cain & Abels innebygde passordfunksjon for å fange passord som krysser nettverket til og fra ulike verter ved å klikke på fanen Passord.
De foregående trinnene viser hvor enkelt det er å utnytte et sårbarhet og bevise at Ethernet-brytere ikke er alt de er sprakk for å være.
MAC-adressepoofing
MAC-adressespoofing triks bryteren til å tenke at datamaskinen din er noe annet. Du endrer bare datamaskinens MAC-adresse og maskerad som en annen bruker.
Du kan bruke dette trikset til å teste tilgangskontrollsystemer, for eksempel IPS / brannmuren, og til og med kontrollene for operativsystemets innlogging som kontrollerer bestemte MAC-adresser.
UNIX-baserte systemer
I UNIX og Linux kan du spoofe MAC-adresser med ifconfig-verktøyet. Følg disse trinnene:
-
Når du er logget inn som root, bruk ifconfig til å angi en kommando som deaktiverer nettverksgrensesnittet.
Sett inn nettverksgrensesnittnummeret du vil deaktivere i kommandoen, slik:
[root @ localhost root] # ifconfig eth0 down
-
Skriv inn en kommando for MAC-adressen du vil bruke.
Sett inn den falske MAC-adressen og nettverksgrensesnittet (eth0) i kommandoen igjen, slik:
[root @ localhost root] # ifconfig eth0 hw ether new_mac_address
Du kan bruke en mer funksjonsrik verktøyet heter GNU MAC Changer for Linux-systemer.
Windows
Du kan bruke regedit til å redigere Windows-registret, eller du kan bruke et pent Windows-verktøy kalt SMAC, noe som gjør MAC-spoofing en enkel prosess. Følg disse trinnene for å bruke SMAC:
-
Legg inn programmet.
-
Velg adapteren du vil endre MAC-adressen til.
-
Skriv inn den nye MAC-adressen i feltene Nye spoofede MAC-adresser og klikk på Oppdater MAC-knappen.
-
Stopp og start nettverkskortet ved å følge disse trinnene:
-
Høyreklikk nettverkskortet i nettverk og oppringingsforbindelser, og velg deretter Deaktiver.
-
Høyreklikk på nytt, og velg deretter Aktiver for at endringen skal tre i kraft.
-
-
Klikk på Oppdater knappen i SMAC-grensesnittet.
Følg disse trinnene for å reversere Registerendringer med SMAC:
-
Velg adapteren du vil endre MAC-adressen til.
-
Klikk på Fjern MAC-knappen.
-
Stopp og start nettverkskortet ved å følge disse trinnene:
-
Høyreklikk nettverkskortet i nettverk og oppringingsforbindelser, og velg deretter Deaktiver.
-
Høyreklikk på nytt, og velg deretter Aktiver for at endringen skal tre i kraft.
-
-
Klikk på Oppdater knappen i SMAC-grensesnittet.
Du bør se den opprinnelige MAC-adressen din på nytt.
Tiltak mot ARP-forgiftning og MAC-adressepoofing-angrep
Noen mottiltak på nettverket ditt kan minimere effekten av et angrep mot ARP- og MAC-adresser:
-
Forebygging: Du kan forhindre MAC-adressespoofing hvis din Brytere kan aktivere portsikkerhet for å forhindre automatiske endringer i MAC-adressetabellene.
-
Deteksjon: Du kan oppdage disse to typer hack gjennom et IPS eller et frittstående MAC-adresseovervåkingsverktøy.
Arpwatch er et Linux-basert program som varsler deg via e-post når det oppdager endringer i MAC-adresser knyttet til bestemte IP-adresser på nettverket.