kapcsolt hálózati környezetben a csomagok MAC-címmel kerülnek a rendeltetési portra. Ez a folyamat megköveteli, hogy a hálózaton lévő rendszerek fenntartsanak egy táblázatot, amely MAC-címeket társít a portokhoz. Kapcsolt környezetben a csomagokat csak azokra az eszközökre küldik, amelyekre szánták őket. Még ebben a kapcsolt környezetben is vannak módok más eszközök csomagjainak szippantására. Az egyik ilyen módszer a MAC-cím meghamisítása és az arp-tábla mérgezése. Mivel az arp nem tárol állapotadatokat, az arp gyorsítótár felülírható (kivéve, ha egy bejegyzést kifejezetten állandóként jelölnek meg).
az Arp gyorsítótár mérgezésével a támadó olyan helyzetbe kerül, hogy elfogja a két számítógép közötti kommunikációt. Az a számítógép úgy véli, hogy kommunikál a B számítógéppel, de a mérgezett arp tábla miatt a kommunikáció valójában a támadó számítógépére megy. A támadó ezután válaszolhat az A számítógépre (úgy tesz, mintha B számítógép lenne), vagy egyszerűen továbbíthatja a csomagokat a tervezett rendeltetési helyre, de csak azután, hogy a csomaginformációkat rögzítette és naplózta a támadó későbbi felhasználása céljából. Hasonlóképpen, a B számítógép válaszát rögzítheti és naplózhatja a támadó, aki szintén Arp-mérgezést használt arra, hogy a B számítógépet úgy gondolja, hogy a támadó számítógépe A számítógép.
ez a cikk az ARP gyorsítótár-mérgezési támadásokban használt eszközöket ismerteti, beleértve az ettercap, az arpspoof, a nemesis, a p0f, a dsniff és a scapy eszközöket.
Ettercap futtatása
az arp gyorsítótár mérgezéséhez a támadónak ugyanabban a hálózati szegmensben kell lennie, mint a támadás alatt álló rendszerek. Az első lépés az IP-címek és a hozzájuk tartozó MAC-címek listájának megszerzése. Számos eszköz segít ezen információk megszerzésében; az egyik példa az ettercap (http://ettercap.sourceforge.net/) nevű eszköz. Ettercap egy lakosztály az ember a közepén támadások a helyi LAN. Jellemzője az élő kapcsolatok szippantása, A tartalom szűrése menet közben stb. Az Ettercap számos protokoll aktív és passzív boncolását támogatja. A következő parancs:
# ettercap -T -M arp:remote //
az eredmények megtekintéséhez írja be az L vagy a H billentyűt a Súgó menübe, és megjelenik a parancsok listája.
Arp Cache DOS
ahhoz, hogy az arp megmérgezzen egy adott IP-címet, és offline állapotba hozza a rendszert, hogy ne tudjon kommunikálni senkivel, használja az arpspoof-ot a dsniff csomagból (http://monkey.org/~dugsong/dsniff/), amely egy ingyenes eszközgyűjtemény a hálózati auditáláshoz és a penetrációs teszteléshez. A dsniff csomag olyan eszközöket tartalmaz, mint a dsniff, filesnarf, mailsnarf, nsgsnarf, urlsnardés webspy, amelyek passzívan figyelik a hálózatot érdekes adatok után. (Az Arpspoof, a dnsspoof és a macof eszközök megkönnyítik a támadó számára általában nem elérhető hálózati forgalom lehallgatását a layer-2 váltás miatt.)
az Arpspoof (http://arpspoof.sourceforge.net/) sokkal egyszerűbb, mint az ettercap a csomagok átirányításához:
# arpspoof-i eth0-t<target> host
az interfész megadása opcionális, de kötelező, ha egynél több interfész van jelen. A -t opció megadja az adott gazdagépet az arp poison számára; ha a gazdagép nincs megadva, akkor a LAN összes gazdagépe megmérgeződik. A gazdagép lehet az alapértelmezett átjáró, és ez megakadályozza, hogy a cél a helyi szegmensen túl kommunikáljon. Az Arpspoof átirányítja a csomagokat egy célállomásról vagy a LAN összes gazdagépéről az ARP válaszok meghamisításával. A Program szépsége az arp_send() függvényből származik, amely a libnet-et is használja a csomagok hamisításához. az arp_send () egy ARP csomagot küld ki a felhasználó által megadott forrás/cél IP és Ethernet hardver címekkel. A Libnet egy általános hálózati API, amely hozzáférést biztosít több protokollhoz.
az arp gyorsítótár mérgezési folyamatának jobb megértése érdekében fontolja meg a Nemesis nevű alternatív eszközt. Ha a cél és a gazdagép IP-je és MAC-je van,akkor a Nemesis segítségével megmérgezheti a célpontot. A Nemesis (http://nemesis.sourceforge.net/) egy parancssori hálózati csomagkészítő és befecskendező segédprogram. A Nemesis képes ARP, DNS, ETHERNET, ICMP, IGMP, IP, OSPF, RIP, TCP és UDP csomagokat készíteni és beadni. Ha saját csomagot készít a Nemesis segítségével, láthatja, hogyan működik az arp gyorsítótár-mérgezés:
$ sudo nemesis arp -v -r -d eth0 -S 192.168.1.2 \-D 192.168.1.133 -h 00:22:6E:71:04:BB -m 00:0C:29:B2:78:9E \-H 00:22:6E:71:04:BB -M 00:0C:29:B2:78:9E
ezután létrehoz egy csomagot, amelyet a másik irányba küld:
$ sudo nemesis arp -v -r -d eth0 -S 192.168.1.133 \-D 192.168.1.2 -h 00:22:6E:71:04:BB -m 00:22:6B:7E:AD:7C \-H 00:22:6E:71:04:BB -M 00:22:6B:7E:AD:7C
ez a két parancs hamisítja az ARP válaszokat 192.168.1.2-től 192.168.1.133-ig, majd 192.168.1.33-tól 192.168.1.2-ig. A Nemesis arp opció-S megadja a forrás IP-címét, -D megadja a cél IP-címét,- h megadja a feladó MAC-címét, – m megmutatja a cél MAC-címét, – H a forrás mac-címét, – M pedig a cél MAC-címét. Ez a két parancs hamis ARP válaszokat küld, hogy az ARP gyorsítótárakat megmérgezzék és a forgalmat átirányítsák.
annak érdekében, hogy a gyorsítótár mérgezett maradjon, ismételje meg a parancsokat 10 másodpercenként egy hurokkal.
$ while true>do> sudo nemesis arp -v -r -d eth0 -S 192.168.1.2 \-D 192.168.1.133 -h 00:22:6E:71:04:BB -m 00:0C:29:B2:78:9E \-H 00:22:6E:71:04:BB -M 00:0C:29:B2:78:9E> sudo nemesis arp -v -r -d eth0 -S 192.168.1.133 \ -D 192.168.1.2 -h 00:22:6E:71:04:BB -m 00:22:6B:7E:AD:7C \-H 00:22:6E:71:04:BB -M 00:22:6B:7E:AD:7C> echo "Redirecting"> sleep 10> done
ha ez megtörtént, a megcélzott mező ki lesz kapcsolva, és nem tud kommunikálni a hálózat többi részével. Készítettem egy videót az oldalamon, amely bemutatja ezt a támadást, és elérhető a http://pbnetworks.netcímen.
a LAN szippantása
az arp gyorsítótár mérgezésének egyik célja, hogy a támadót olyan helyzetbe hozza, hogy rögzítse és naplózza a hálózati információkat. A behatolóknak számos eszköze van a LAN-on történő hallgatáshoz és az adatok naplózásához későbbi elemzés céljából.
Ettercap a bridge mód lehetővé teszi, hogy lehallgatják a csomagokat, amit aztán olvasni, szippantás, vagy változtatni, mielőtt elküldi az áldozat. A híd módhoz két interfész szükséges, amelyek a hálózati szegmensbe kerülnek. Ha inline-t állít be a hálózati híd móddal, akkor nagyon nehéz felismerni.
# ettercap -Tq -i eth0 -B eth1
az-i az elsődleges interfészt eth0-ként állítja be, a-B pedig a második áthidaló interfészt. Ha az ettercap-ot a GTK+ felhasználói felületen futtatja, válassza a Sniff | Bridged sniffing lehetőséget.