kytketyssä verkkoympäristössä paketit lähetetään kohdeporttiin MAC-osoitteen mukaan. Tämä prosessi edellyttää, että verkon järjestelmät ylläpitävät taulukkoa, joka yhdistää MAC-osoitteet portteihin. Kytketyssä ympäristössä paketit lähetetään vain laitteisiin, joihin ne on tarkoitettu. Jopa tässä kytketyssä ympäristössä on tapoja haistaa muiden laitteiden paketteja. Yksi tällainen tapa on huijaus MAC-osoite ja myrkyttää arp taulukko. Koska arp ei säilytä tilatietoja, ARP-välimuisti voidaan korvata (ellei merkintää ole nimenomaisesti merkitty pysyväksi).
Arp-välimuistimyrkytys asettaa hyökkääjän asemaan, jossa hän voi siepata kahden tietokoneen välisen viestinnän. Tietokone A uskoo kommunikoivansa tietokone B: n kanssa, mutta myrkytetyn arp-taulukon vuoksi kommunikaatio menee todellisuudessa hyökkääjän tietokoneelle. Tämän jälkeen hyökkääjä voi joko vastata tietokoneelle a (teeskennellen olevansa tietokone B) tai yksinkertaisesti lähettää paketit aiottuun määränpäähänsä, mutta vasta sen jälkeen, kun paketin tiedot on kaapattu ja kirjattu hyökkääjän myöhempää käyttöä varten. Samoin tietokone B: n vastauksen voi kaapata ja kirjata hyökkääjä, joka on myös käyttänyt Arp-myrkytystä saadakseen tietokone B: n luulemaan hyökkääjän tietokonetta tietokone A: ksi.tämän tyyppinen hyökkäys tunnetaan nimellä Man in the Middle attack.
tämä artikkeli käsittelee useita arp-välimuistimyrkytyshyökkäyksissä käytettyjä työkaluja, kuten ettercap, arpspoof, nemesis, p0f, dsniff ja scapy.
Ettercap
jotta arp-välimuistimyrkytys tapahtuisi, hyökkääjän on oltava samassa verkkosegmentissä hyökkäyksen kohteena olevien järjestelmien kanssa. Ensimmäinen vaihe on saada luettelo IP-osoitteista ja niihin liittyvistä MAC-osoitteista. Useat työkalut auttavat sinua saamaan nämä tiedot; yksi esimerkki on työkalu nimeltä ettercap (http://ettercap.sourceforge.net/). Ettercap on sviitti mies keskellä hyökkäyksiä paikallisen LAN. Se sisältää nuuhkiminen live yhteydet, sisällön suodatus lennossa, ja enemmän. Ettercap tukee useiden protokollien aktiivista ja passiivista dissektiota. Seuraava komento:
# ettercap -T -M arp:remote //
nopeasti haistaa kaikki isännät aliverkossa; voit tarkastella tuloksia, Kirjoita l tai paina H varten Ohje-valikko ja näet luettelon komentoja.
Arp Cache dos
to arp myrkyttää tietyn IP-osoitteen ja kaataa järjestelmän offline, jotta se ei voi kommunikoida kenenkään kanssa, käyttää arpspoof dsniff suite (http://monkey.org/~dugsong/dsniff/), ilmainen kokoelma työkaluja verkon auditointiin ja tunkeutumistestaukseen. Dsniff-sarja sisältää työkaluja, kuten dsniff, filesnarf, mailsnarf, nsgsnarf, urlsnard ja webspy, jotka passiivisesti seuraavat verkkoa kiinnostavien tietojen varalta. (Arpspoof, dnsspoof, ja macof työkalut helpottavat kuuntelua verkkoliikenteen normaalisti poissa hyökkääjän takia layer – 2 kytkentä.)
Arpspoof (http://arpspoof.sourceforge.net/) on paljon yksinkertaisempi kuin ettercap pakettien uudelleenohjaamiseen:
# arpspoof-I eth0-t <target> host
rajapinnan määrittäminen on vapaaehtoista, mutta vaaditaan, jos käytössä on useampi kuin yksi liitäntä. -T-vaihtoehto määrittää arp-myrkyn erityisen isännän; jos isäntää ei ole määritelty, kaikki lähiverkon isännät myrkytetään. Isäntä voi olla oletusyhdyskäytävä, ja tämä estää kohdetta kommunikoimasta paikallisen segmentin ulkopuolella. Arpspoof ohjaa paketteja kohdeis-isännästä tai kaikista lähiverkon isännistä takomalla ARP-vastauksia. Ohjelman kauneus tulee arp_send () – funktiosta, joka käyttää myös libnetiä pakettien huijaamiseen. arp_send () lähettää yhden arp-paketin, jossa on käyttäjän toimittamat lähde/kohde-IP-ja Ethernet-laitteiston osoitteet. Libnet on yleinen verkottumisrajapinta, joka tarjoaa pääsyn useisiin protokolliin.
arp-välimuistimyrkytysprosessin ymmärtämiseksi kannattaa harkita vaihtoehtoista työkalua nimeltä Nemesis. Jos sinulla on aiotun kohteen ja isännän IP ja MAC, voit arp myrkyttää kohteen Nemesiksen avulla. Nemesis (http://nemesis.sourceforge.net/) on komentoriviverkon pakettien askartelu-ja ruiskutustyökalu. Nemesis voi veneet ja pistää ARP, DNS, ETHERNET, ICMP, IGMP, IP, OSPF, RIP, TCP, ja UDP-paketteja. Käsityö oma paketti käyttäen Nemesis, voit nähdä, miten ARP välimuisti myrkytys toimii:
$ sudo nemesis arp -v -r -d eth0 -S 192.168.1.2 \-D 192.168.1.133 -h 00:22:6E:71:04:BB -m 00:0C:29:B2:78:9E \-H 00:22:6E:71:04:BB -M 00:0C:29:B2:78:9E
sitten luot paketin lähetettäväksi toiseen suuntaan:
$ sudo nemesis arp -v -r -d eth0 -S 192.168.1.133 \-D 192.168.1.2 -h 00:22:6E:71:04:BB -m 00:22:6B:7E:AD:7C \-H 00:22:6E:71:04:BB -M 00:22:6B:7E:AD:7C
nämä kaksi komentoa huijaus ARP vastauksia 192.168.1.2 – 192.168.1.133 sitten 192.168.1.33-192.168.1.2. Nemesis arp-valitsin-s määrittää lähteen IP-osoitteen,- D määrittää kohteen IP-osoitteen, -h määrittää lähettäjän MAC-osoitteen,- m näyttää kohteen MAC-osoitteen, – H lähteen MAC-osoitteen ja-M määränpään MAC-osoitteen. Nämä kaksi komentoa lähettävät tekaistuja ARP-vastauksia pitääkseen ARP-kätköt myrkytettyinä ja liikenteen uudelleenohjattuina.
varmista, että välimuisti pysyy myrkytettynä, toista komennot 10 sekunnin välein silmukalla.
$ while true>do> sudo nemesis arp -v -r -d eth0 -S 192.168.1.2 \-D 192.168.1.133 -h 00:22:6E:71:04:BB -m 00:0C:29:B2:78:9E \-H 00:22:6E:71:04:BB -M 00:0C:29:B2:78:9E> sudo nemesis arp -v -r -d eth0 -S 192.168.1.133 \ -D 192.168.1.2 -h 00:22:6E:71:04:BB -m 00:22:6B:7E:AD:7C \-H 00:22:6E:71:04:BB -M 00:22:6B:7E:AD:7C> echo "Redirecting"> sleep 10> done
kun tämä on tehty, kohdelaatikko on pois verkosta eikä pysty kommunikoimaan muun verkon kanssa. Tein sivustolleni videon, joka osoittaa tämän hyökkäyksen ja on saatavilla http://pbnetworks.net.
LAN
arp-kätkömyrkytyksen yksi tavoite on laittaa hyökkääjä asemaan, jossa hän voi kaapata ja kirjata verkkotietoja. Tunkeutujilla on useita työkaluja lähiverkon kuunteluun ja tietojen kirjaamiseen myöhempää analysointia varten.
Ettercapin komentosiltatilassa voit siepata paketteja, joita voit sitten lukea, nuuhkia tai vaihtaa ennen kuin lähetät ne uhrille. Siltatila vaatii kaksi liittymää, jotka sijoitetaan verkkosegmenttiin. Jos määrität inline verkko silta tilassa, olet erittäin vaikea havaita.
# ettercap -Tq -i eth0 -B eth1
– i asettaa ensisijaisen rajapinnan ET0: ksi,- B asettaa toisen silloitusliittymän. Jos suoritat ettercapin GTK+ – käyttöliittymässä, valitse Nipsu | Bridged sniffing.