Verktøy for bruk i ARP Spoofing Attack
Det er mange verktøy som Arpspoof, Cain & Abel, Arpoison og Ettercap som er tilgjengelige for å starte ARP-spoofing.
Her er skjermbildet for å vise hvordan de nevnte verktøyene kan sende ARP-forespørselen omstridt:
ARP Spoofing Attack i detaljer
La oss se noen skjermbilder og forstå ARP-spoofing trinn for trinn:
Trinn 1 :
Angriperens forventning er å få ARP-svaret slik at det kan lære offerets MAC-adresse. Nå, hvis vi går videre i det gitte skjermbildet, kan vi se at det er 2 ARP-svar fra IP-adressene 192.168.56.100 og 192.168.56.101. Etter dette oppdaterer offeret [192.168.56.100 og 192.168.56.101] sin ARP-buffer, men spurte ikke tilbake. Så oppføringen i ARP-cachen blir aldri korrigert.
ARP-forespørselspakkenumrene er 137 og 138. ARP-svarpakkenumrene er 140 og 143.
Dermed finner angriperen sårbarheten ved å gjøre ARP-spoofing. Dette kalles 'angrepets inngang'.
Steg 2:
Pakkenumrene er 141, 142 og 144, 146.
Fra forrige aktivitet har angriperen nå gyldige MAC-adresser på 192.168.56.100 og 192.168.56.101. Det neste trinnet for angriperen er å sende ICMP-pakken til offerets IP-adresse. Og vi kan se fra det gitte skjermbildet at angriperen sendte en ICMP-pakke og fikk et ICMP-svar fra 192.168.56.100 og 192.168.56.101. Dette betyr at begge IP-adressene [192.168.56.100 og 192.168.56.101] er tilgjengelige.
Trinn 3:
Vi kan se at det er den siste ARP-forespørselen for 192.168.56.101 IP-adresse for å bekrefte at verten er aktiv og den har samme MAC-adresse på 08:00:27:dd:84:45.
Det oppgitte pakkenummeret er 3358.
Trinn 4:
Det er en annen ICMP-forespørsel og -svar med 192.168.56.101 IP-adressen. Pakkenumrene er 3367 og 3368.
Herfra kan vi tenke at angriperen sikter mot offeret hvis IP-adresse er 192.168.56.101.
Nå kommer all informasjon som kommer fra IP-adressen til 192.168.56.100 eller 192.168.56.101 til IP 192.168.56.1 til MAC-adresseangriperen hvis IP-adresse er 192.168.56.1.
Trinn 5:
Når angriperen har tilgang, prøver den å etablere en faktisk forbindelse. Fra det gitte skjermbildet kan vi se at etableringen av HTTP-tilkoblingen blir forsøkt fra angriperen. Det er en TCP-tilkobling inne i HTTP som betyr at det skal være et 3-VEIS håndtrykk. Dette er pakkeutvekslingene for TCP:
SYN -> SYN+ACK -> ACK.
Fra det gitte skjermbildet kan vi se at angriperen prøver SYN-pakken på nytt flere ganger på forskjellige porter. Rammenummeret 3460 til 3469. Pakkenummeret 3469 SYN er for port 80 som er HTTP.
Trinn 6:
Det første vellykkede TCP-håndtrykket vises ved følgende pakkenumre fra det gitte skjermbildet:
4488: SYN-ramme fra angriper
4489: SYN+ACK-ramme fra 192.168.56.101
4490: ACK-ramme fra angriper
Trinn 7:
Når TCP-tilkoblingen er vellykket, kan angriperen etablere HTTP-tilkoblingen [rammenummer 4491 til 4495] etterfulgt av SSH-tilkoblingen [rammenummer 4500 til 4503].
Nå har angrepet nok kontroll til at det kan gjøre følgende:
- Session kapring angrep
- Mann i midtangrepet [MITM]
- Denial of Service (DoS) angrep
Slik forhindrer du ARP-spoofing-angrepet
Her er noen beskyttelser som kan tas for å forhindre ARP-spoofing-angrepet:
- Bruk av «Static ARP»-oppføringer
- ARP spoofing deteksjon og forebygging programvare
- Pakkefiltrering
- VPN-er, etc.
Vi kan også stoppe dette fra å skje igjen hvis vi bruker HTTPS i stedet for HTTP og bruker SSL (Secure Socket layer) transportlagsikkerhet. Dette er slik at all kommunikasjon er kryptert.
Konklusjon
Fra denne artikkelen fikk vi en grunnleggende idé om ARP-spoofing-angrep og hvordan det kan få tilgang til ethvert systems ressurs. Dessuten vet vi nå hvordan vi skal stoppe denne typen angrep. Denne informasjonen hjelper nettverksadministratoren eller en hvilken som helst systembruker med å beskytte seg mot ARP-spoofingangrep.