Zatrucie ARP

ARP spoofing ( „spoofing” lub „parodia”) lub ARP zatrucia ( „zatrucie”) to technika wykorzystywana do atakowania dowolnego komputera w sieci lokalnej przy użyciu protokołu rozpoznawania adresów ARP , najczęstszym przypadku brzmi sieci Ethernet i Wi-Fi . Technika ta pozwala atakującemu na przekierowanie przepływów komunikacyjnych przechodzących między maszyną docelową a bramą: routerem, skrzynką  itp. Atakujący może wtedy nasłuchiwać, modyfikować, a nawet blokować pakiety sieciowe.

Ilustracja przedmiotu

Ustawmy kontekst:

Réseau local : 192.168.1.1 : passerelle. 192.168.1.10 : machine cible. 192.168.1.17 : attaquant.

Atakujący wyśle ​​pakiet ARP , który sam sfałszował za pomocą narzędzi takich jak Scapy .

Paquet ARP : ip_source= 192.168.1.1 mac_source= <adresse_mac attaquant> ip_destination= 192.168.1.10 type= is-at

Tylko argument type może sprawić, że będziesz się zastanawiać: istnieją 2 typy pakietów ARP  : jest na stronie i kto ma . W naszym przypadku napastnik wysyła:

192.168.1.1 is-at <adresse_mac attaquant>

Należy to przetłumaczyć jako: „adres IP 192.168.1.1 odpowiada adresowi MAC <attacker_mac address> . "

Istnieje kilka metod ataku ARP:

• nieodpłatne ARP  : atakujący wysyła ramkę ARP broadcast (w sieci), w którym to mapuje adres MAC z adresem IP bramy. Nieodpłatne ARP jest wstępnie planowane tak, że sprzęt, który właśnie pojawił się na sieci ogłasza się (co sprawia, że można na przykład wykryć zduplikowane adresy IP). Ten typ żądania, który jest szeroko stosowany przez sprzęt sieciowy, nie jest sam w sobie zły, ale może zostać przekierowany, jeśli odbiorcy są bardzo słabo chronieni. Aby zilustrować ten typ ataku powyższym przykładem, argument należy zastąpić rozgłoszeniowymip_destination adresem IP( np .: 192.168.1.255);
• emisja sfałszowanego żądania ARP (patrz wyżej): napastnik wysyła do ofiary żądanie unicast, określając jako wysyłający adres IP adres IP, który chce sfałszować i wskazując własny adres MAC jako adres MAC nadajnika. Tak więc, gdy ofiara otrzymuje żądanie, rejestruje korespondencję IP / MAC w swojej tabeli ARP, gdy jest ona błędna. Ten rodzaj ataku jest wykorzystywany w szczególności przez oprogramowanie typu Cain i Abel .

Precyzja

Spoofing ARP to krok w ataku typu man-in-the-middle .

Środki zaradcze

W małej sieci lepiej jest używać tabeli statycznej. Statyczna tablica ARP umożliwia powiązanie adresu IP z adresem MAC urządzenia. W większej sieci praca byłaby zbyt żmudna. Rzeczywiście, dla n maszyn, każda maszyna musi mieć n-1 wpisów w swojej tablicy ARP, a zatem łącznie n ^ 2-n wpisów. Istnieje również oprogramowanie do wykrywania i zapobiegania atakom typu „odmowa usługi”. Opierają się na znajomości adresów MAC i IP lub nadmiarowości adresów MAC. W podejściu aktywnym odpowiedzi ARP zawierające podejrzane adresy MAC są blokowane. Istnieją konfiguracje, w których wiele adresów IP jest skojarzonych z jedną kartą sieciową. Dlatego maszyny z taką konfiguracją można uznać za podejrzane, a następnie zablokować. W podejściu pasywnym te programy wysyłają powiadomienia, gdy następuje zmiana w tablicy ARP.

Zobacz też

Uwagi i odniesienia

Artykuły wewnętrzne

• arpwatch
• Atak typu „odmowa usługi”
• Ethernet
• Filtrowanie adresów MAC
• Przedstawiciel ARP
• Scapy
• Kradzież tożsamości
• Podszywanie się pod adres IP

Linki zewnętrzne

• Gra z protokołem ARP