i en switchad nätverksmiljö, paket skickas till sin destination port av MAC-adress. Denna process kräver att systemen i nätverket upprätthåller en tabell som associerar MAC-adresser till portar. I en omkopplad miljö skickas paket endast till enheter som de är avsedda för. Även i denna växlade miljö finns det sätt att sniffa andra enheters paket. Ett sådant sätt är att förfalska din MAC-adress och förgifta Arp-tabellen. Eftersom arp inte behåller någon tillståndsinformation kan Arp-cachen skrivas över (såvida inte en post uttryckligen markeras som permanent).
Arp cache förgiftning sätter angriparen i position för att avlyssna kommunikation mellan de två datorerna. Dator a tror att det kommunicerar med dator B, men på grund av det förgiftade Arp-bordet går kommunikationen faktiskt till angriparens dator. Angriparen kan sedan antingen svara på dator A (låtsas vara Dator B) eller helt enkelt vidarebefordra paketen till sin avsedda destination, men först efter att paketinformationen har fångats och loggats för senare användning av angriparen. På samma sätt kan svaret från dator B fångas och loggas av angriparen, som också har använt Arp-förgiftning för att få dator B att tro att angriparens dator är Dator A. Denna typ av attack kallas Man in the Middle attack.
den här artikeln täcker ett antal verktyg som används i ARP-cache-förgiftningsattacker, inklusive ettercap, arpspoof, nemesis, p0f, dsniff och scapy.
kör Ettercap
för att ARP-cache-förgiftning ska kunna äga rum måste angriparen vara i samma nätverkssegment som de system som attackeras. Det första steget är att få en lista över IP-adresser och deras tillhörande MAC-adresser. Flera verktyg hjälper dig att få denna information; ett exempel är ett verktyg som heter ettercap (http://ettercap.sourceforge.net/). Ettercap är en svit för människan i mitten attacker på en lokal LAN. Den har sniffa av levande anslutningar, innehållsfiltrering i farten, och mer. Ettercap stöder aktiv och passiv dissektion av många protokoll några av flera protokoll. Följande kommando:
# ettercap -T -M arp:remote //
kommer snabbt att sniffa alla värdar i ditt undernät; för att se resultaten, skriv L eller tryck h för hjälpmenyn och du kommer att se en lista med kommandon.
Arp Cache DOS
för att Arp förgifta en viss IP-adress och slå Systemet offline så att det inte kan kommunicera med någon, använd arpspoof från dsniff suite (http://monkey.org/~dugsong/dsniff/), en gratis samling av verktyg för nätverk revision och penetrationstester. Dsniff-sviten innehåller verktyg som dsniff, filesnarf, mailsnarf, nsgsnarf, urlsnard och webspy, som passivt övervakar ett nätverk för intressanta data. (Arpspoof, dnsspoof och macof-verktyg underlättar avlyssning av nätverkstrafik som normalt inte är tillgänglig för en angripare på grund av layer-2-växling.)
Arpspoof (http://arpspoof.sourceforge.net/) är mycket enklare än ettercap för omdirigering av paket:
# arpspoof-i eth0-t <mål> värd
att ange gränssnittet är valfritt men krävs om mer än ett gränssnitt finns. Alternativet-t anger den specifika värden för arp-gift; om värden inte anges kommer alla värdar på LAN att förgiftas. Värden kan vara standardgatewayen, och detta kommer att hålla målet från att kommunicera bortom det lokala segmentet. Arpspoof omdirigerar paket från ett mål värd eller alla värdar på LAN genom smide ARP svar. Skönheten i detta program kommer från funktionen arp_send (), som också använder libnet för att förfalska paket. arp_send () skickar ut ett arp-paket med käll – /mål-IP-och Ethernet-hårdvaruadresser som tillhandahålls av användaren. Libnet är ett generiskt nätverk API som ger tillgång till flera protokoll.
för att bättre förstå arp-cacheförgiftningsprocessen, överväga ett alternativt verktyg som heter Nemesis. Om du har IP och MAC för det avsedda målet och värden kan du använda Nemesis för att Arp förgifta målet. Nemesis (http://nemesis.sourceforge.net/) är en kommandorad nätverkspaket crafting och injektion verktyg. Nemesis kan skapa och injicera Arp -, DNS -, ETHERNET -, ICMP -, IGMP -, IP -, OSPF -, RIP -, TCP-och UDP-paket. Genom att skapa ditt eget paket med Nemesis kan du se hur arp-cache-förgiftningen fungerar:
$ sudo nemesis arp -v -r -d eth0 -S 192.168.1.2 \-D 192.168.1.133 -h 00:22:6E:71:04:BB -m 00:0C:29:B2:78:9E \-H 00:22:6E:71:04:BB -M 00:0C:29:B2:78:9E
sedan skapar du ett paket att skicka i andra riktningen:
$ sudo nemesis arp -v -r -d eth0 -S 192.168.1.133 \-D 192.168.1.2 -h 00:22:6E:71:04:BB -m 00:22:6B:7E:AD:7C \-H 00:22:6E:71:04:BB -M 00:22:6B:7E:AD:7C
dessa två kommandon spoof ARP svar från 192.168.1.2 till 192.168.1.133 sedan från 192.168.1.33 till 192.168.1.2. Alternativet Nemesis arp-s anger källans IP-adress ,- D anger destinationens IP-adress, – h anger avsändarens MAC-adress ,- M visar målets MAC-adress, – H källans MAC-adress och-M destinationens MAC-adress. Dessa två kommandon skickar falska ARP-svar för att hålla ARP-cacherna förgiftade och trafiken Omdirigerad.
för att se till att cachen förblir förgiftad, spela upp kommandona var 10: e sekund med en slinga.
$ while true>do> sudo nemesis arp -v -r -d eth0 -S 192.168.1.2 \-D 192.168.1.133 -h 00:22:6E:71:04:BB -m 00:0C:29:B2:78:9E \-H 00:22:6E:71:04:BB -M 00:0C:29:B2:78:9E> sudo nemesis arp -v -r -d eth0 -S 192.168.1.133 \ -D 192.168.1.2 -h 00:22:6E:71:04:BB -m 00:22:6B:7E:AD:7C \-H 00:22:6E:71:04:BB -M 00:22:6B:7E:AD:7C> echo "Redirecting"> sleep 10> done
när detta är gjort kommer den riktade rutan att vara offline och inte kunna kommunicera med resten av nätverket. Jag gjorde en video på min webbplats som visar denna attack och är tillgänglig på http://pbnetworks.net.
sniffa LAN
ett mål med arp-cache-förgiftning är att sätta angriparen i position för att fånga och logga nätverksinformation. Inkräktare har flera verktyg för att lyssna på LAN och logga data för senare analys.
Ettercaps broläge låter dig fånga upp paket som du sedan kan läsa, sniffa eller ändra innan du skickar vidare till offret. Bridge-läget kräver två gränssnitt som placeras i nätverkssegmentet. Om du ställer in inline med nätverksbryggläge är du mycket svår att upptäcka.
# ettercap -Tq -i eth0 -B eth1
– i ställer in det primära gränssnittet som eth0, – B ställer in det andra överbryggningsgränssnittet. Om du kör ettercap i GTK+ användargränssnitt, Välj sniffa / Bridged sniffa.