Como os hackers usam Address Resolution Protocol para penetrar nas redes

Hackers podem usar ARP (Address Resolution Protocol) em execução na sua rede para tornar seus sistemas de aparecer como seu sistema ou outro host autorizado em sua rede. Tenha isso em mente ao desenvolver suas contramedidas de segurança.

ARP spoofing

Um número excessivo de pedidos ARP pode ser um sinal de um ARP spoofing ataque à sua rede.

Um cliente que executa um programa, como o dsniff ou Caim Abel, pode alterar as tabelas ARP - as tabelas que armazenam os endereços IP para contr acesso à mídiaol mapeamentos de endereço - em hosts da rede. Isso faz com que os computadores das vítimas a pensar que precisam para enviar tráfego para o computador do invasor e não ao verdadeiro computador de destino quando se comunicar na rede.

respostas ARP falsificados podem ser enviadas para um interruptor, que reverte a mudança para o modo de difusão e, essencialmente, transforma-lo em um hub. Quando isso ocorre, um atacante pode capturar todos os pacotes passando o interruptor e capturar qualquer coisa e tudo a partir da rede.

Aqui está um típico ataque spoofing ARP com o computador de um hacker (Hacky) e dois computadores de usuários da rede legítimos »(Joe e Bob):

1. venenos hacky os caches ARP de vítimas Joe e Bob usando dsniff, ettercap, ou um utilitário, escreveu ele.

2. Joe associa o endereço MAC do Hacky com o endereço IP de Bob.

3. Bob associa o endereço MAC do Hacky com o endereço IP de Joe.

4. o tráfego de Joe e tráfego de Bob são enviados para o endereço IP do Hacky em primeiro lugar.

5. analisador de rede de Hacky captura o tráfego de Joe e Bob.

Caim Abel para o envenenamento ARP

Você pode executar o envenenamento ARP na rede Ethernet comutada para testar suas IPS ou para ver como é fácil para ligar um interruptor em um hub e capturar qualquer coisa com um analisador de rede.

Execute os seguintes passos para utilizar Cain Abel para o envenenamento ARP:

1. Coloque Cain Abel e, em seguida, clique na guia Sniffer para entrar no modo de analisador de rede.

2. Clique no ícone Start / Stop abril

   O processo de roteamento veneno ARP começa e permite que o sniffer embutido.

3. Se solicitado, selecione o adaptador de rede na janela que aparece e, em seguida, clique em OK.

4. Clique no ícone azul + para adicionar anfitriões para realizar ARP envenenamento por diante.

5. Na janela Endereço Scanner do MAC que aparece, certifique-se os todos os hosts na minha opção de sub-rede é selecionado e clique em OK.

6. Clique na guia abril para carregar a página abril

7. Clique no espaço em branco sob o título coluna Status superior.

   Esta re-permite que o ícone azul +.

8. Clique no ícone azul + ea janela do veneno Routing Novo ARP mostra os hosts descobertos na Etapa 3.

9. Selecionar sua rota padrão.

   O direito; coluna da preenche com todos os hosts restantes.

   

10. Ctrl + clique todos os hosts na coluna da direita que pretende envenenar.

11. Clique em OK e o processo de envenenamento ARP inicia.

    Este processo pode levar de alguns segundos a alguns minutos, dependendo do seu hardware de rede e local da pilha TCP / IP cada um dos anfitriões.

    

12. Você pode usar Cain senhas embutidas de Abel apresentam para capturar senhas que atravessam a rede de e para vários anfitriões simplesmente clicando na guia senhas.

As etapas anteriores mostram como é fácil para explorar uma vulnerabilidade e provar que switches Ethernet não são todos eles são rachados até ser.

MAC falsificação de endereço

Endereço MAC spoofing truques os interruptor em pensar que seu computador é outra coisa. Você simplesmente mudar o endereço MAC do seu computador e mascarar-se como outro usuário.

Você pode usar esse truque para testar sistemas de controle de acesso, tais como o seu IPS / firewall, e até mesmo seus controles de login do sistema operacional que verificam endereços MAC específicos.

sistemas baseados em UNIX

Em UNIX e Linux, você pode falsificar os endereços MAC com o utilitário ifconfig. Siga esses passos:

1. Enquanto logado como root, use ifconfig para introduzir um comando que desativa a interface de rede.

   Insira o número de interface de rede que você deseja desativar para o comando, como este:

   [Root @ localhost root] # ifconfig eth0 down

2. Digite um comando para o endereço MAC que você deseja usar.

   Insira o endereço MAC falso e o número de interface de rede (eth0) para o comando novamente, como este:

[Root @ localhost raiz] # ifconfig eth0 hw ethernew_mac_address

Você pode usar um utilitário mais rico em recurso chamado GNU MAC Changer para sistemas Linux.

janelas

Você pode usar o regedit para editar o registro do Windows, ou você pode usar um utilitário do Windows chamado puro SMAC, o que torna MAC spoofing um processo simples. Siga estes passos para utilizar SMAC:

1. Carregar o programa.

2. Selecione o adaptador para o qual você quer mudar o endereço MAC.

3. Digite o novo endereço MAC nos campos Endereço New Spoofed MAC e clique no botão Update MAC.

4. Pare e reinicie a placa de rede com estes passos:

5. direita; clique na placa de rede na rede e conexões dial-up e, em seguida, escolha Desativar.

6. direita; clique novamente e, em seguida, escolha Ativar para que a alteração tenha efeito.

7. Clique no botão Atualizar na interface SMAC.

Para reverter mudanças de registro com SMAC, siga estes passos:

1. Selecione o adaptador para o qual você quer mudar o endereço MAC.

2. Clique no botão MAC Remover.

3. Pare e reinicie a placa de rede com estes passos:

4. direita; clique na placa de rede na rede e conexões dial-up e, em seguida, escolha Desativar.

5. direita; clique novamente e, em seguida, escolha Ativar para que a alteração tenha efeito.

6. Clique no botão Atualizar na interface SMAC.

   Você deverá ver o seu endereço MAC original novamente.

Medidas contra o envenenamento ARP e MAC ataques endereço spoofing

Algumas medidas preventivas na rede podem minimizar os efeitos de um ataque contra endereços ARP e MAC:

• Prevenção: Você pode impedir que o endereço MAC spoofing se seus switches podem ativar a segurança da porta para evitar alterações automáticas no tabelas de endereços MAC.

• Detecção: Você pode detectar estes dois tipos de hacks através de um um utilitário de monitoramento de endereço MAC independente IPS ou.

  arpwatch é um programa baseado em Linux que o alerta via e-mail quando detecta alterações em endereços MAC associados a endereços IP específicos na rede.