ARP mérgezés

Az ARP- hamisítás ("hamisítás" vagy "paródia") vagy az ARP- mérgezés ("mérgezés") egy olyan technika, amelyet bármely számítógép helyi hálózatának megtámadására használnak az ARP címfeloldási protokoll használatával , a leggyakoribb eset az Ethernet és a Wi-Fi hálózat . Ez a technika lehetővé teszi a támadó számára, hogy elterelje a célgép és az átjáró között áthaladó kommunikációs áramlatokat: útválasztó, doboz  stb. Ezután a támadó meghallgathatja, módosíthatja vagy akár blokkolhatja is a hálózati csomagokat.

A téma illusztrációja

Állítsuk be a kontextust:

Réseau local : 192.168.1.1 : passerelle. 192.168.1.10 : machine cible. 192.168.1.17 : attaquant.

A támadó ARP csomagot küld, amelyet olyan eszközökkel hamisított meg, mint a Scapy .

Paquet ARP : ip_source= 192.168.1.1 mac_source= <adresse_mac attaquant> ip_destination= 192.168.1.10 type= is-at

Csak a type argumentummal lehet itt elgondolkodni: kétféle ARP csomag létezik  : is-at és who-has . Esetünkben ezt a támadó küldi:

192.168.1.1 is-at <adresse_mac attaquant>

Ezt úgy kell lefordítani, hogy "a 192.168.1.1 ip cím megfelel a <támadó_mac cím> MAC címnek . "

Az ARP támadásnak számos módszere van:

• indokolatlan ARP  : a támadó küld egy ARP keretet broadcast (a hálózaton), amely feltérképezi a MAC-cím az IP-címét az átjáró. Az ingyen ARP-t eredetileg úgy tervezik, hogy az imént a hálózatra érkező berendezés bejelentse magát (ami lehetővé teszi például az ismétlődő IP-k észlelését). Ez a fajta kérés, amelyet a hálózati berendezések széles körben használnak, önmagában nem rossz, de átirányítható, ha a címzetteket nagyon rosszul védik. Az ilyen típusú támadások szemléltetésére a fenti példával az argumentumot fel kell cserélniip_destinationa sugárzott IP-címre( pl .: 192.168.1.255);
• hamis ARP-kérelem továbbítása (lásd fent): a támadó küld egy unicast kérést az áldozatnak azzal, hogy küldő IP-címként meghatározza azt az IP-címet, amelyet meg akar csalni, és saját MAC-címét jelöli az adó MAC-címeként. Így amikor az áldozat megkapja a kérést, az IP / MAC levelezést rögzíti ARP táblájába, annak ellenére, hogy helytelen. Ezt a típusú támadást különösen a Cain és az Abel típusú szoftverek használják .

Pontosság

Az ARP- hamisítás egy lépés a középső ember támadásában .

Ellenintézkedés

Jobb, ha egy kis hálózat statikus táblázatot használ. A statikus ARP tábla segítségével beállíthatja az IP-cím és az eszköz MAC-címének társítását. Nagyobb hálózatban a munka túl fárasztó lenne. Valójában n gép esetében minden gépnek n-1 bejegyzéssel kell rendelkeznie az ARP táblázatában, ezért összesen n ^ 2-n bejegyzés. Van egy szoftver a szolgáltatásmegtagadásos támadások észlelésére és megelőzésére is. Ezek a MAC és IP címek vagy a MAC címek redundanciájának ismeretén alapulnak. Aktív megközelítés esetén a gyanús MAC-címeket tartalmazó ARP-válaszok blokkolva vannak. Vannak olyan konfigurációk, ahol több IP-cím van társítva egyetlen hálózati kártyához. Az ilyen konfigurációjú gépek ezért gyanúsnak tekinthetők, majd blokkolhatók. Passzív megközelítésben ezek a szoftverek értesítéseket küldenek, ha változás történik az ARP táblázatban.

Lásd is

Megjegyzések és hivatkozások

Belső cikkek

• arpwatch
• Szolgáltatásmegtagadási támadás
• Ethernet
• MAC-cím szűrés
• ARP képviselő
• Scapy
• Személyazonosság-lopás
• IP-cím hamisítása

Külső linkek

• Játszás az ARP protokollal