Azərbaycanca AzərbaycancaБеларускі БеларускіDansk DanskDeutsch DeutschEspañola EspañolaFrançais FrançaisIndonesia IndonesiaItaliana Italiana日本語 日本語Қазақ ҚазақLietuvos LietuvosNederlands NederlandsPortuguês PortuguêsРусский Русскийසිංහල සිංහලแบบไทย แบบไทยTürkçe TürkçeУкраїнська Українська中國人 中國人United State United StateAfrikaans Afrikaans
Підтримка
www.wikidata.uk-ua.nina.az

У галузі комп ютерних мереж ARP spoofing ARP cache poisoning або ARP poison routing мережева атака канального рівня при

ARP spoofing

ARP spoofing

У галузі комп'ютерних мереж, ARP spoofing (ARP cache poisoning або ARP poison routing) — мережева атака канального рівня, при якій зловмисник надсилає підроблені повідомлення протоколу ARP (Address Resolution Protocol) в локальну мережу. За допомогою ARP spoofing зловмисник посилає підроблене ARP повідомлення на локальну мережу. Зазвичай мета полягає в тому, щоб зв'язати MAC-адресу зловмисника з IP-адресою хоста на який здійснюється атака, зазвичай це основний шлюз, щоб трафік замість цієї IP-адреси, був надісланий зловмиснику.

image
Успішна ARP spoofing атака, котра дозволяє зловмисникові змінити маршрутизацію в мережі.

ARP spoofing може дозволити зловмиснику перехоплювати пакети даних в мережі, змінювати трафік, або зупинити весь трафік. Часто ця атака є підготовкою для інших атак, таких як DoS-атака, атака «людина посередині», TCP hijacking.

Атака може бути використана тільки в мережах, що працюють на основі Address Resolution Protocol.

Вразливість ARP

Address Resolution Protocol, призначений щоб зв'язати протокол рівня Internet Protocol (IP) з протоколом канального рівня. Коли по IP протоколу передаються пакети від одного хоста до іншого по локальній мережі, то для IP-адреси відправника повинен бути дозвіл до MAC-адреси отримувача. Якщо IP-адреса та MAC-адреса іншого хоста відомі, то пакети починають відправлятися по локальній мережі. Перший пакет відомий як ARP, котрий призначений для встановлення зв'язку. Одержувач ARP пакета відправляє свій ARP пакет щоб підтвердити зв'язок, котрий містить MAC-адресу для даного IP. Проблема полягає в тому, що немає способу аутентифікувати відправника, можна лише підтвердити зв'язок. Саме через це виникає вразливість, котра має назву ARP spoofing.

Опис атаки

image
Зелене з'єднання - зв'язок між М та Н. Червоне з'єднання - зв'язок між М та Н після застосування ARP-spoofing, тобто всі пакети проходять через Х.
  1. Два комп'ютери M та N в локальній мережі Ethernet обмінюються повідомленнями. Зловмисник X, що знаходиться в цій мережі, хоче перехоплювати повідомлення між цими вузлами. До застосування атаки ARP spoofing на мережевому інтерфейсі вузла М ARP-таблиця містить IP та MAC-адресу вузла N, а в мережевому інтерфейсі вузла N ARP-таблиця містить IP та MAC-адресу вузла М.
  2. Під час атаки ARP spoofing вузол Х (зловмисник) відсилає дві ARP-відповіді (без запиту) до вузлів М та N. ARP-відповідь вузла М містить IP-адресу N й MAC-адресу Х. В свою чергу ARP-відповідь вузла N містить IP адресу M й MAC-адресу X.
  3. Так як комп'ютери М та N підтримують мимовільний ARP, то після отримання ARP-відповіді, вони змінюють свої ARP-таблиці, тепер ARP-таблиця M містить MAC-адресу Х яка прив'язана до ІР-адреси N, ARP-таблиця N також містить MAC-адресу Х котра в свою чергу прив'язана до IP-адреси М.
  4. Починає виконуватися атака ARP spoofing та всі пакети між М та N проходить через X. Наприклад, якщо М хоче передати пакет комп'ютеру N, то М дивиться в свою ARP-таблицю, знаходить запис IP-адреси вузла N, бере звідти MAC-адресу та передає пакет. Пакет знаходиться в інтерфейсі Х, аналізується, після чого перенаправляється до вузла N.

Виявлення та запобігання ARP spoofing

Використання статичного ARP

Можливо уникнути атаки ARP spoofing шляхом налаштування ARP-таблиці самостійно. Тоді зловмисник не зможе оновлювати ARP-таблицю та посилати ARP-відповіді до інтерфейсів комп'ютерів.

Безпека ОС

Операційні системи реагують по-різному. Linux ігнорує небажані відповіді, але використовує відповіді на запити від інших машин, щоб оновити свою ARP-таблицю. Solaris поновлює ARP-таблицю тільки після тайм-ауту. У Microsoft Windows, поведінку ARP-таблиці можна налаштувати за допомогою запису в реєстр таких команд ArpCacheLife, ArpCacheMinReferenceLife, ArpUseEtherSNAP, ArpTRSingleRoute, ArpAlwaysSourceRoute, ArpRetryCount.

Використання шифрування

Для запобігання атаки ARP spoofing в локальній мережі можна використовувати протоколи шифрування даних, для захисту переданої інформації від зловмисника. Наприклад такі протоколи як PPPoE або IPSec.

Програми Arpwatch, BitCometAntiARP

Ці програми відстежують ARP активність для заданих інтерфейсів. Вони можуть виявити атаку ARP spoofing, але не можуть запобігти їй. Для запобігання атаці потрібне втручання адміністратора мережі котрий буде вносити зміни до ARP-таблиці самостійно.

Організація VLAN

Якщо в локальній мережі існує поділ на кілька VLAN, то атака ARP spoofing може бути застосована тільки до комп'ютерів, котрі знаходяться в одному VLAN. Ідеальна ситуація, з точки зору безпеки. ARP spoofing в такому випадку неможливий.

Законне використання

Методи, котрі використовуються у процесі ARP spoofing також можуть бути використані для реалізації мережевих послуг. Існують дві відомі компанії, які намагалися комерціалізувати продукти, котрі зосереджені навколо стратегії ARP spoofing, Disney Circle та CUJO. Остання, нещодавно, отримала значні проблеми через використанням стратегії ARP spoofing. ARP spoofing часто використовується розробниками для налагоджування IP-трафіку між двома вузлами, коли мережевий комутатор знаходиться в стані використання. Якщо хост А та хост Б спілкуються через комутатор Ethernet, їх трафік, буде невидимим для третього хоста моніторингу М, на якому буде налагоджуватися трафік між А та Б без їх участі.

Spoofing

Деякі з інструментів, котрі можуть бути використані для проведення атак ARP:

  • Arpspoo
  • Arpoison
  • Subterfuge
  • Ettercap
  • Seringe
  • ARP-FILLUP -V0.1
  • arp-sk -v0.0.15
  • ARPOc -v1.13
  • arpalert -v0.3.2
  • cSploit -v 1.6.2
  • Cain And Abel -v 4.3
  • cSploit -v 1.6.2
  • SwitchSniffer

Пристрої котрі запобігають атаці ARP spoofing

  • anti-arpspoof
  • Antidote
  • Arp_Antidote
  • Arpwatch
  • Arpwatch/ArpwatchNG/Winarpwatch
  • DefendARP
  • Snort
  • XArp
  • ArpON
  • Colasoft Capsa
  • remarp

Детальний опис програм представлений в таблиці:

Назва пристрою Операційна система GUI Безкоштовна Захист інтерфейс
Agnitum Outpost Firewall Windows Так Ні Так Ні
AntiARP Windows Так Ні Так Ні
Antidote Linux Ні Так Ні ?
Arp_Antidote Linux Ні Так Ні ?
Arpalert Linux Ні Так Ні Так
ArpON Linux Ні Так Так Так
ArpGuard Mac Так Ні Так Так
ArpStar Linux Ні Так Так ?
Arpwatch Linux Ні Так Ні Так
ArpwatchNG Linux Ні Так Ні Ні
Colasoft Capsa Windows Так Ні Ні Так
cSploit Android Так Так Ні Так
Prelude IDS ? ? ? ? ?
remarp Linux Ні Так Ні Ні
Snort Windows/Linux Ні Так Ні Так
Winarpwatch Windows Ні Так Ні Ні
XArp Windows/Linux Так Так Так Так
Seconfig XP Windows 2000/XP/2003  ? Так Так Ні
zANTI Android Так Так Ні ?
NetSec Framework Linux Ні Так Ні Ні

Література

  • Steve Gibson (2005-12-11). "ARP Cache Poisoning" [ 24 квітня 2019 у Wayback Machine.].
  • Stephanie Reigns (2014-10-07). "Clearing your ARP cache on Linux" [ 8 квітня 2019 у Wayback Machine.]. Coderseye.

Посилання

  1. Ramachandran, Vivek; Nandi, Sukumar (1 січня 2005). . Proceedings of the First International Conference on Information Systems Security. Springer-Verlag. с. 239—250. doi:10.1007/11593980_18. ISBN . Архів оригіналу за 21 листопада 2008. Процитовано 2 травня 2017.
  2. Ramachandran, Vivek; Nandi, Sukumar (2005). Detecting ARP Spoofing: An Active Technique. У Jajodia, Suchil; Mazumdar, Chandan (ред.). Information systems security: first international conference, ICISS 2005, Kolkata, India, December 19-21, 2005 : proceedings. Birkhauser. с. 239. ISBN .
  3. . technet.microsoft.com (англ.). Архів оригіналу за 23 січня 2021. Процитовано 2 травня 2017.
  4. . www.ultramonkey.org. Архів оригіналу за 18 листопада 2012. Процитовано 2 травня 2017.
  5. . antidote.sourceforge.net. Архів оригіналу за 13 березня 2012. Процитовано 2 травня 2017.
  6. . doc.a-real.ru (рос.). Архів оригіналу за 9 травня 2017. Процитовано 2 травня 2017.
  7. . burbon04.gmxhome.de. Архів оригіналу за 14 січня 2012. Процитовано 2 травня 2017.
  8. . 9 липня 2012. Архів оригіналу за 9 липня 2012. Процитовано 2 травня 2017.

Вікіпедія, Українська, Україна, книга, книги, бібліотека, стаття, читати, завантажити, безкоштовно, безкоштовно завантажити, mp3, відео, mp4, 3gp, jpg, jpeg, gif, png, малюнок, музика, пісня, фільм, книга, гра, ігри, мобільний, телефон, android, ios, apple, мобільний телефон, samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, ПК, web, Інтернет

U galuzi komp yuternih merezh ARP spoofing ARP cache poisoning abo ARP poison routing merezheva ataka kanalnogo rivnya pri yakij zlovmisnik nadsilaye pidrobleni povidomlennya protokolu ARP Address Resolution Protocol v lokalnu merezhu Za dopomogoyu ARP spoofing zlovmisnik posilaye pidroblene ARP povidomlennya na lokalnu merezhu Zazvichaj meta polyagaye v tomu shob zv yazati MAC adresu zlovmisnika z IP adresoyu hosta na yakij zdijsnyuyetsya ataka zazvichaj ce osnovnij shlyuz shob trafik zamist ciyeyi IP adresi buv nadislanij zlovmisniku Uspishna ARP spoofing ataka kotra dozvolyaye zlovmisnikovi zminiti marshrutizaciyu v merezhi ARP spoofing mozhe dozvoliti zlovmisniku perehoplyuvati paketi danih v merezhi zminyuvati trafik abo zupiniti ves trafik Chasto cya ataka ye pidgotovkoyu dlya inshih atak takih yak DoS ataka ataka lyudina poseredini TCP hijacking Ataka mozhe buti vikoristana tilki v merezhah sho pracyuyut na osnovi Address Resolution Protocol Vrazlivist ARPAddress Resolution Protocol priznachenij shob zv yazati protokol rivnya Internet Protocol IP z protokolom kanalnogo rivnya Koli po IP protokolu peredayutsya paketi vid odnogo hosta do inshogo po lokalnij merezhi to dlya IP adresi vidpravnika povinen buti dozvil do MAC adresi otrimuvacha Yaksho IP adresa ta MAC adresa inshogo hosta vidomi to paketi pochinayut vidpravlyatisya po lokalnij merezhi Pershij paket vidomij yak ARP kotrij priznachenij dlya vstanovlennya zv yazku Oderzhuvach ARP paketa vidpravlyaye svij ARP paket shob pidtverditi zv yazok kotrij mistit MAC adresu dlya danogo IP Problema polyagaye v tomu sho nemaye sposobu autentifikuvati vidpravnika mozhna lishe pidtverditi zv yazok Same cherez ce vinikaye vrazlivist kotra maye nazvu ARP spoofing Opis atakiZelene z yednannya zv yazok mizh M ta N Chervone z yednannya zv yazok mizh M ta N pislya zastosuvannya ARP spoofing tobto vsi paketi prohodyat cherez H Dva komp yuteri M ta N v lokalnij merezhi Ethernet obminyuyutsya povidomlennyami Zlovmisnik X sho znahoditsya v cij merezhi hoche perehoplyuvati povidomlennya mizh cimi vuzlami Do zastosuvannya ataki ARP spoofing na merezhevomu interfejsi vuzla M ARP tablicya mistit IP ta MAC adresu vuzla N a v merezhevomu interfejsi vuzla N ARP tablicya mistit IP ta MAC adresu vuzla M Pid chas ataki ARP spoofing vuzol H zlovmisnik vidsilaye dvi ARP vidpovidi bez zapitu do vuzliv M ta N ARP vidpovid vuzla M mistit IP adresu N j MAC adresu H V svoyu chergu ARP vidpovid vuzla N mistit IP adresu M j MAC adresu X Tak yak komp yuteri M ta N pidtrimuyut mimovilnij ARP to pislya otrimannya ARP vidpovidi voni zminyuyut svoyi ARP tablici teper ARP tablicya M mistit MAC adresu H yaka priv yazana do IR adresi N ARP tablicya N takozh mistit MAC adresu H kotra v svoyu chergu priv yazana do IP adresi M Pochinaye vikonuvatisya ataka ARP spoofing ta vsi paketi mizh M ta N prohodit cherez X Napriklad yaksho M hoche peredati paket komp yuteru N to M divitsya v svoyu ARP tablicyu znahodit zapis IP adresi vuzla N bere zvidti MAC adresu ta peredaye paket Paket znahoditsya v interfejsi H analizuyetsya pislya chogo perenapravlyayetsya do vuzla N Viyavlennya ta zapobigannya ARP spoofingVikoristannya statichnogo ARP Mozhlivo uniknuti ataki ARP spoofing shlyahom nalashtuvannya ARP tablici samostijno Todi zlovmisnik ne zmozhe onovlyuvati ARP tablicyu ta posilati ARP vidpovidi do interfejsiv komp yuteriv Bezpeka OS Operacijni sistemi reaguyut po riznomu Linux ignoruye nebazhani vidpovidi ale vikoristovuye vidpovidi na zapiti vid inshih mashin shob onoviti svoyu ARP tablicyu Solaris ponovlyuye ARP tablicyu tilki pislya tajm autu U Microsoft Windows povedinku ARP tablici mozhna nalashtuvati za dopomogoyu zapisu v reyestr takih komand ArpCacheLife ArpCacheMinReferenceLife ArpUseEtherSNAP ArpTRSingleRoute ArpAlwaysSourceRoute ArpRetryCount Vikoristannya shifruvannya Dlya zapobigannya ataki ARP spoofing v lokalnij merezhi mozhna vikoristovuvati protokoli shifruvannya danih dlya zahistu peredanoyi informaciyi vid zlovmisnika Napriklad taki protokoli yak PPPoE abo IPSec Programi Arpwatch BitCometAntiARP Ci programi vidstezhuyut ARP aktivnist dlya zadanih interfejsiv Voni mozhut viyaviti ataku ARP spoofing ale ne mozhut zapobigti yij Dlya zapobigannya ataci potribne vtruchannya administratora merezhi kotrij bude vnositi zmini do ARP tablici samostijno Organizaciya VLAN Yaksho v lokalnij merezhi isnuye podil na kilka VLAN to ataka ARP spoofing mozhe buti zastosovana tilki do komp yuteriv kotri znahodyatsya v odnomu VLAN Idealna situaciya z tochki zoru bezpeki ARP spoofing v takomu vipadku nemozhlivij Zakonne vikoristannyaMetodi kotri vikoristovuyutsya u procesi ARP spoofing takozh mozhut buti vikoristani dlya realizaciyi merezhevih poslug Isnuyut dvi vidomi kompaniyi yaki namagalisya komercializuvati produkti kotri zoseredzheni navkolo strategiyi ARP spoofing Disney Circle ta CUJO Ostannya neshodavno otrimala znachni problemi cherez vikoristannyam strategiyi ARP spoofing ARP spoofing chasto vikoristovuyetsya rozrobnikami dlya nalagodzhuvannya IP trafiku mizh dvoma vuzlami koli merezhevij komutator znahoditsya v stani vikoristannya Yaksho host A ta host B spilkuyutsya cherez komutator Ethernet yih trafik bude nevidimim dlya tretogo hosta monitoringu M na yakomu bude nalagodzhuvatisya trafik mizh A ta B bez yih uchasti Spoofing Deyaki z instrumentiv kotri mozhut buti vikoristani dlya provedennya atak ARP Arpspoo Arpoison Subterfuge Ettercap Seringe ARP FILLUP V0 1 arp sk v0 0 15 ARPOc v1 13 arpalert v0 3 2 cSploit v 1 6 2 Cain And Abel v 4 3 cSploit v 1 6 2 SwitchSniffer Pristroyi kotri zapobigayut ataci ARP spoofing anti arpspoof Antidote Arp Antidote Arpwatch Arpwatch ArpwatchNG Winarpwatch DefendARP Snort XArp ArpON Colasoft Capsa remarp Detalnij opis program predstavlenij v tablici Nazva pristroyu Operacijna sistema GUI Bezkoshtovna Zahist interfejs Agnitum Outpost Firewall Windows Tak Ni Tak Ni AntiARP Windows Tak Ni Tak Ni Antidote Linux Ni Tak Ni Arp Antidote Linux Ni Tak Ni Arpalert Linux Ni Tak Ni Tak ArpON Linux Ni Tak Tak Tak ArpGuard Mac Tak Ni Tak Tak ArpStar Linux Ni Tak Tak Arpwatch Linux Ni Tak Ni Tak ArpwatchNG Linux Ni Tak Ni Ni Colasoft Capsa Windows Tak Ni Ni Tak cSploit Android Tak Tak Ni Tak Prelude IDS remarp Linux Ni Tak Ni Ni Snort Windows Linux Ni Tak Ni Tak Winarpwatch Windows Ni Tak Ni Ni XArp Windows Linux Tak Tak Tak Tak Seconfig XP Windows 2000 XP 2003 Tak Tak Ni zANTI Android Tak Tak Ni NetSec Framework Linux Ni Tak Ni NiLiteraturaSteve Gibson 2005 12 11 ARP Cache Poisoning 24 kvitnya 2019 u Wayback Machine Stephanie Reigns 2014 10 07 Clearing your ARP cache on Linux 8 kvitnya 2019 u Wayback Machine Coderseye PosilannyaRamachandran Vivek Nandi Sukumar 1 sichnya 2005 Proceedings of the First International Conference on Information Systems Security Springer Verlag s 239 250 doi 10 1007 11593980 18 ISBN 3540307060 Arhiv originalu za 21 listopada 2008 Procitovano 2 travnya 2017 Ramachandran Vivek Nandi Sukumar 2005 Detecting ARP Spoofing An Active Technique U Jajodia Suchil Mazumdar Chandan red Information systems security first international conference ICISS 2005 Kolkata India December 19 21 2005 proceedings Birkhauser s 239 ISBN 978 3 540 30706 8 technet microsoft com angl Arhiv originalu za 23 sichnya 2021 Procitovano 2 travnya 2017 www ultramonkey org Arhiv originalu za 18 listopada 2012 Procitovano 2 travnya 2017 antidote sourceforge net Arhiv originalu za 13 bereznya 2012 Procitovano 2 travnya 2017 doc a real ru ros Arhiv originalu za 9 travnya 2017 Procitovano 2 travnya 2017 burbon04 gmxhome de Arhiv originalu za 14 sichnya 2012 Procitovano 2 travnya 2017 9 lipnya 2012 Arhiv originalu za 9 lipnya 2012 Procitovano 2 travnya 2017

Дата публікації:
Топ