in een geschakelde netwerkomgeving worden pakketten per MAC-adres naar hun bestemmingspoort verzonden. Dit proces vereist dat de systemen op het netwerk een tabel onderhouden die MAC-adressen koppelt aan poorten. In een geschakelde omgeving worden pakketten alleen verzonden naar apparaten waarvoor ze bedoeld zijn. Zelfs in deze geschakelde omgeving zijn er manieren om pakketten van andere apparaten te ruiken. Een dergelijke manier is om uw MAC-adres spoofen en vergiftigen de ARP tafel. Omdat arp geen statusinformatie bewaart, kan de ARP-cache worden overschreven (tenzij een item expliciet Als permanent is gemarkeerd).
ARP cache vergiftiging zet de aanvaller in positie om communicatie tussen de twee computers te onderscheppen. Computer A denkt dat het communiceert met Computer B, maar door de vergiftigde ARP tafel, gaat de communicatie eigenlijk naar de computer van de aanvaller. De aanvaller kan dan ofwel reageren op Computer a (doen alsof hij Computer B is), of gewoon de pakketten doorsturen naar de beoogde bestemming, maar alleen nadat de pakketinformatie is vastgelegd en geregistreerd voor later gebruik door de aanvaller. Ook kan de reactie van Computer B worden vastgelegd en geregistreerd door de aanvaller, die ook Arp vergiftiging heeft gebruikt om Computer B te laten denken dat de computer van de aanvaller Computer a is.dit type aanval staat bekend als Man in the Middle attack.
dit artikel behandelt een aantal tools die gebruikt worden bij ARP cache poisoning attacks, waaronder ettercap, arpspoof, nemesis, p0f, dsniff, en scapy.
Ettercap
om ARP cache vergiftiging te laten plaatsvinden, moet de aanvaller zich in hetzelfde netwerksegment bevinden als de systemen die worden aangevallen. De eerste stap is het verkrijgen van een lijst met IP-adressen en de bijbehorende MAC-adressen. Verschillende tools zullen u helpen deze informatie te verkrijgen; een voorbeeld is een tool genaamd ettercap (http://ettercap.sourceforge.net/). Ettercap is een suite voor man in the middle aanvallen op een lokale LAN. Het beschikt over snuiven van live-verbindingen, content filteren op de vlieg, en meer. Ettercap ondersteunt actieve en passieve dissectie van vele protocollen sommige van verschillende protocollen. Het volgende commando:
# ettercap -T -M arp:remote //
zal snel alle hosts in je subnet ruiken; om de resultaten te bekijken, typ je L of druk je op h voor het help menu en je zult een lijst met commando ‘ s zien.
ARP Cache DOS
om arp een bepaald IP-adres te vergiftigen en het systeem offline te zetten zodat het met niemand kan communiceren, gebruik je arpspoof uit de dsniff suite (http://monkey.org/~dugsong/dsniff/), een gratis verzameling tools voor Netwerk auditing en penetratie testen. De dsniff suite bevat tools zoals dsniff, filesnarf, mailsnarf, nsgsnarf, urlsnard, en webspy, die passief controleren van een netwerk voor interessante gegevens. (Arpspoof, dnsspoof, en macof tools vergemakkelijken de onderschepping van netwerkverkeer normaal niet beschikbaar voor een aanvaller als gevolg van Layer-2 schakelen.)
Arpspoof (http://arpspoof.sourceforge.net/) is veel eenvoudiger dan ettercap voor het omleiden van pakketten:
# arpspoof-i eth0-t <target> host
het specificeren van de interface is optioneel maar vereist als er meer dan één interface aanwezig is. De optie-t specificeert de specifieke host van arp poison; als de host niet gespecificeerd is, zullen alle hosts op het LAN vergiftigd worden. De host kan de standaard gateway zijn, en dit voorkomt dat het doel buiten het lokale segment communiceert. Arpspoof redirects pakketten van een doel host of alle hosts op het LAN door het vervalsen van ARP antwoorden. De schoonheid van dit programma komt van de arp_send () functie, die ook libnet gebruikt om pakketten te spoofen. arp_send () stuurt een arp pakket met bron/doel IP en Ethernet hardware adressen geleverd door de gebruiker. Libnet is een generieke netwerk API die toegang biedt tot verschillende protocollen.
om het ARP cache vergiftigingsproces beter te begrijpen, overweeg dan een alternatief hulpmiddel genaamd Nemesis. Als je het IP en MAC van het beoogde doel en de host hebt, kun je Nemesis gebruiken om het doel te vergiftigen. Nemesis (http://nemesis.sourceforge.net/) is een command-line netwerk pakket crafting en injectie utility. Nemesis kan ARP -, DNS -, ETHERNET -, ICMP -, IGMP -, IP -, OSPF -, RIP -, TCP-en UDP-pakketten maken en injecteren. Door het maken van uw eigen pakket met behulp van Nemesis, kunt u zien hoe de ARP cache poisoning werkt:
$ sudo nemesis arp -v -r -d eth0 -S 192.168.1.2 \-D 192.168.1.133 -h 00:22:6E:71:04:BB -m 00:0C:29:B2:78:9E \-H 00:22:6E:71:04:BB -M 00:0C:29:B2:78:9E
dan maak je een pakket om in de andere richting te sturen:
$ sudo nemesis arp -v -r -d eth0 -S 192.168.1.133 \-D 192.168.1.2 -h 00:22:6E:71:04:BB -m 00:22:6B:7E:AD:7C \-H 00:22:6E:71:04:BB -M 00:22:6B:7E:AD:7C
deze twee commando ‘ s spoof ARP antwoordt van 192.168.1.2 tot 192.168.1.133 dan van 192.168.1.33 tot 192.168.1.2. De Nemesis arp optie-S specificeert het bron IP-adres, – D specificeert het doel IP-adres,- h specificeert het MAC-adres van de afzender,- m toont het doel MAC-adres, – H Het bron MAC-adres, en-M het doel MAC-adres. Deze twee commando ‘ s sturen nep ARP antwoorden om de ARP caches vergiftigd en verkeer omgeleid te houden.
om er zeker van te zijn dat de cache vergiftigd blijft, speel de commando ‘ s elke 10 seconden opnieuw af met een lus.
$ while true>do> sudo nemesis arp -v -r -d eth0 -S 192.168.1.2 \-D 192.168.1.133 -h 00:22:6E:71:04:BB -m 00:0C:29:B2:78:9E \-H 00:22:6E:71:04:BB -M 00:0C:29:B2:78:9E> sudo nemesis arp -v -r -d eth0 -S 192.168.1.133 \ -D 192.168.1.2 -h 00:22:6E:71:04:BB -m 00:22:6B:7E:AD:7C \-H 00:22:6E:71:04:BB -M 00:22:6B:7E:AD:7C> echo "Redirecting"> sleep 10> done
zodra dit is gedaan, zal het doelvenster off-line zijn en niet in staat zijn om met de rest van het netwerk te communiceren. Ik heb een video gemaakt op mijn site die deze aanval demonstreert en is beschikbaar op http://pbnetworks.net.
snuiven van het LAN
een doel van ARP cache vergiftiging is om de aanvaller in positie te brengen om netwerkinformatie vast te leggen en te loggen. Indringers hebben verschillende tools voor het luisteren op het LAN en het loggen van gegevens voor latere analyse.
met de brugmodus van Ettercap kunt u pakketten onderscheppen die u vervolgens kunt lezen, snuiven of wijzigen voordat u doorstuurt naar het slachtoffer. De brugmodus vereist twee interfaces die in het netwerksegment worden geplaatst. Als je inline instelt met network bridge mode, ben je erg moeilijk te detecteren.
# ettercap -Tq -i eth0 -B eth1
de-i stelt de primaire interface in als eth0, de-B stelt de tweede overbruggingsinterface in. Als u ettercap in GTK+ gebruikersinterface uitvoert, selecteert u Sniff / Bridged sniffing.