Pagkalason ng ARP / spoofing: Paano tiktik at pigilan ito

Pagkalason ng ARP_spoofingAng pagkalason sa Address Resolution Protocol (ARP) ay isang pag-atake na nagsasangkot ng pagpapadala ng mga nasirang mensahe ng ARP sa isang lokal na network ng lugar. Kilala rin ito Ang ARP spoofing, ARP poison routing at ARP cache poisoning.


Ang mga pag-atake na ito ay nagtangkang ilipat ang trapiko mula sa orihinal na inilaan nitong host sa isang umaatake sa halip. Ginagawa ito ng pagkalason sa ARP sa pamamagitan ng pag-uugnay ng Media Access Control (MAC) address ng attacker sa IP address ng target. Gumagana lamang ito laban sa mga network na gumagamit ng ARP.

Ang pagkalason sa ARP ay isang uri ng pag-atake ng tao na maaaring magamit sa itigil ang trapiko sa network, baguhin ito, o pangharangin ito. Ang pamamaraan ay madalas na ginagamit upang simulan ang karagdagang mga offensive, tulad ng session ng pag-hijack o pagtanggi sa serbisyo.

Ano ang Address Resolution Protocol (ARP)?

Ang ARP ay isang protocol na nag-uugnay sa isang naibigay na IP address kasama ang link layer address ng may-katuturang pisikal na makina. Dahil ang IPv4 pa rin ang pinaka-karaniwang ginagamit na protocol sa internet, Ang ARP sa pangkalahatan ay naayos ang agwat sa pagitan ng 32-bit na mga IPv4 na address at 48-bit MAC address. Gumagana ito sa parehong direksyon.

Ang ugnayan sa pagitan ng isang naibigay na MAC address at ang IP address nito ay pinananatiling isang talahanayan na kilala bilang ARP cache. Kapag ang isang packet na patungo sa isang host sa isang LAN ay nakakarating sa gateway, ang gateway ay gumagamit ng ARP upang iugnay ang MAC o pisikal na address ng host kasama ang correlating IP address nito.

Pagkatapos maghanap ang host sa pamamagitan ng ARP cache nito. Kung nahanap nito ang kaukulang address, ginagamit ang address upang ma-convert ang haba at haba ng packet. Kung hindi natagpuan ang tamang address, magpapadala ang ARP ng isang packet ng kahilingan na humihiling sa ibang mga makina sa lokal na network kung alam nila ang tamang address. Kung ang isang makina ay tumugon sa address, ang ARP cache ay na-update kasama nito kung sakaling mayroong anumang mga kahilingan sa hinaharap mula sa parehong pinagmulan.

Ano ang pagkalason sa ARP?

Ngayon na nauunawaan mo ang higit pa tungkol sa pinagbabatayan na protocol, maaari naming masaklaw ang pagkalason sa ARP. Ang ARP protocol ay binuo upang maging mahusay, na humantong sa isang malubhang kakulangan ng seguridad sa disenyo nito. Ginagawa nitong medyo madali para sa isang tao na mai-mount ang mga pag-atake na ito, hangga’t ma-access nila ang lokal na network ng kanilang target.

Ang pagkalason sa ARP ay nagsasangkot ng pagpapadala hinugot ARP reply packet sa isang gateway sa lokal na network. Karaniwang gumagamit ng mga tool ng spoofing ang mga umaatake tulad ng Arpspoof o Arppoison upang gawing madali ang trabaho. Itinakda nila ang IP address ng tool upang tumugma sa address ng kanilang target. Pagkatapos ay ini-scan ng tool ang target LAN para sa mga IP at MAC address ng mga host nito.

Sa sandaling ang magsasalakay ay may mga adres ng mga host, nagsisimula silang magpadala ng mga nakabalot na ARP packet sa lokal na network sa mga host. Ang mga mapanlinlang na mensahe ay nagsasabi sa mga tatanggap na ang MAC address ng magsasalakay ay dapat na konektado sa IP address ng makina na kanilang target.

Nagreresulta ito sa mga tatanggap na ina-update ang kanilang ARP cache sa address ng attacker. Kapag ang mga tatanggap ay nakikipag-usap sa target sa hinaharap, ang kanilang mga mensahe ay maipadala sa mang-aatake sa halip.

Sa puntong ito, ang nagsasalakay ay lihim sa gitna ng mga komunikasyon at maaaring magamit ang posisyon na ito upang mabasa ang trapiko at magnakaw ng data. Ang nag-aatake ay maaari ring baguhin ang mga mensahe bago sila makarating sa target, o ganap na ihinto ang mga komunikasyon.

Maaaring gamitin ng mga umaatake ang impormasyong ito upang mai-mount ang mga karagdagang pag-atake, tulad ng pagtanggi sa serbisyo o pag-hijack sa session:

  • Pagtanggi ng serbisyo – Ang mga pag-atake na ito ay maaaring mai-link ang isang bilang ng mga hiwalay na mga IP address sa MAC address ng isang target. Kung ang mga sapat na address ay nagpapadala ng mga kahilingan sa target, maaari itong ma-overload ng trapiko, na nakakagambala sa serbisyo nito at ginagawang hindi magagawa.
  • Session Hijacking – Ang ARP spoofing ay maaaring ma-leverage upang magnakaw ng mga session ng ID, na ginagamit ng mga hacker upang makakuha ng pagpasok sa mga system at account. Kapag sila ay may access, maaari nilang ilunsad ang lahat ng mga uri ng pagkabagabag laban sa kanilang mga target.

Paano tiktikan ang pagkalason sa ARP

Ang pagkalason sa ARP ay maaaring matagpuan sa iba’t ibang mga paraan. Maaari mong gamitin ang Windows ‘Command Prompt, isang open-source packet analyzer tulad ng Wireshark, o mga pagpipilian sa pagmamay-ari tulad ng XArp.

Command agad

Kung pinaghihinalaan mo na maaaring ikaw ay naghihirap mula sa isang pag-atake ng pagkalason sa ARP, maaari mong suriin sa Command Prompt. Una, buksan ang Command Prompt bilang isang tagapangasiwa. Ang pinakamadaling paraan ay ang pindutin ang Windows key upang buksan ang menu ng pagsisimula. I-type ang “cmd“, Pagkatapos ay pindutin ang Crtl, Shift at Ipasok sa parehong oras.

Dadalhin nito ang Command Prompt, kahit na maaaring mag-click ka Oo upang bigyan ang pahintulot ng app na gumawa ng mga pagbabago. Sa linya ng utos, ipasok ang:

arp -1

Bibigyan ka nito ng talahanayan ng ARP:

nakakalason na arp-1

* Ang mga address sa imahe sa itaas ay bahagyang naitim sa mga kadahilanan sa privacy.*

Ipinapakita ng talahanayan ang mga IP address sa kaliwang haligi, at ang MAC address sa gitna. Kung ang talahanayan ay naglalaman ng dalawang magkakaibang mga IP address na nagbabahagi ng parehong MAC address, marahil ikaw ay maaaring sumailalim sa isang pag-atake ng pagkalason sa ARP.

Bilang halimbawa, sabihin na ang iyong ARP talahanayan ay naglalaman ng maraming iba’t ibang mga address. Kapag na-scan mo ito, maaari mong mapansin na ang dalawa sa mga IP address ay may parehong pisikal na address. Maaari mong makita ang isang bagay na katulad nito sa iyong talahanayan ng ARP kung aktuwal kang nalason:

Physical Address ng Internet Address

192.168.0.1 00-17-31-dc-39-ab

192.168.0.105 40-d4-48-cr-29-b2

192.168.0.106 00-17-31-dc-39-ab

Tulad ng nakikita mo, pareho ang una at pangatlong tugma sa MAC address. Ipinapahiwatig nito na ang may-ari ng 192.168.0.106 IP address ay malamang na ang umaatake.

Iba pang mga pagpipilian

Ang Wireshark ay maaaring magamit upang makita ang pagkalason sa ARP sa pamamagitan ng pagsusuri sa mga packet, bagaman ang mga hakbang ay nasa labas ng saklaw ng tutorial na ito at marahil pinakamahusay na naiwan sa mga may karanasan sa programa.

Komersyal na ARP-nakakalason detector tulad ng XArp gawing mas madali ang proseso. Maaari silang bigyan ka ng mga alerto kapag nagsisimula ang pagkalason sa ARP, na nangangahulugang ang pag-atake ay napansin nang mas maaga at maaaring mabawasan ang pinsala.

Paano maiwasan ang pagkalason sa ARP

Maaari kang gumamit ng maraming mga pamamaraan upang maiwasan ang pagkalason sa ARP, ang bawat isa ay may sariling mga positibo at negatibo. Kasama dito ang mga static na ARP entry, encryption, VPN at packet sniffing.

Static ARP entry

Ang solusyon na ito ay nagsasangkot ng maraming administrasyong overhead at inirerekomenda lamang para sa mas maliit na mga network. Ito ay nagsasangkot ng pagdaragdag ng isang ARP entry para sa bawat makina sa isang network sa bawat indibidwal na computer.

Ang pagma-map sa mga makina na may mga set ng static na IP at MAC address ay makakatulong upang maiwasan ang mga pag-atake ng spoofing, dahil ang mga makina ay maaaring balewalain ang mga sagot ng ARP. Sa kasamaang palad, mapoprotektahan ka lamang ng solusyon na ito mula sa mas simpleng pag-atake.

Pag-encrypt

Ang mga protocol tulad ng HTTPS at SSH ay maaari ring makatulong upang mabawasan ang pagkakataon ng isang matagumpay na pag-atake ng pagkalason sa ARP. Kapag naka-encrypt ang trapiko, ang magsasalakay ay kailangang pumunta sa karagdagang hakbang sa pag-tiklop sa browser ng target sa pagtanggap ng isang iligal na sertipiko. Gayunpaman, ang anumang data na naipadala sa labas ng mga protocol na ito ay maaapektuhan pa rin.

Mga VPN

Ang isang VPN ay maaaring maging isang makatwirang pagtatanggol para sa mga indibidwal, ngunit sa pangkalahatan sila ay hindi angkop para sa mas malalaking organisasyon. Kung ito ay isang solong tao lamang na gumagawa ng isang potensyal na mapanganib na koneksyon, tulad ng paggamit ng pampublikong wifi sa isang paliparan, kung gayon a I-encrypt ng VPN ang lahat ng data na naglalakbay sa pagitan ng kliyente at exit server. Makakatulong ito upang mapanatili silang ligtas, dahil ang isang mang-atake ay makikita lamang ang ciphertext.

Ito ay isang hindi gaanong magagawa na solusyon sa antas ng samahan, dahil ang mga koneksyon sa VPN ay kailangang nasa lugar sa pagitan ng bawat computer at bawat server. Hindi lamang magiging kumplikado ito upang mai-set up at mapanatili, ngunit ang pag-encrypt at pag-decryption sa scale na iyon ay mapipigilan din ang pagganap ng network.

Mga filter ng packet

Sinusuri ng mga filter na ito ang bawat packet na ipinadala sa kabuuan ng isang network. Kaya nila i-filter at hadlangan ang mga nakakahamak na packet, pati na rin ang mga na ang mga IP address ay kahina-hinala. Maaari ring sabihin ng mga filter ng packet kung ang isang packet ay nagsasabing nagmumula sa isang panloob na network kapag aktwal na nagmula ang panlabas, na tumutulong upang mabawasan ang mga pagkakataon ng isang pag-atake na matagumpay.

Pagprotekta sa iyong network mula sa pagkalason sa ARP

Kung nais mong ma-secure ang iyong network mula sa banta ng pagkalason ng ARP, ang pinakamahusay na plano ay isang kombinasyon ng nabanggit na mga tool sa pag-iwas at pagtuklas sa itaas. Ang mga pamamaraan ng pag-iwas ay may posibilidad na magkaroon ng mga bahid sa ilang mga sitwasyon, kaya kahit na ang pinaka ligtas na kapaligiran ay maaaring makahanap ng sarili sa ilalim ng pag-atake.

Kung ang mga aktibong tool sa pagtuklas ay nasa lugar din, pagkatapos ay malalaman mo ang tungkol sa pagkalason sa ARP sa sandaling magsimula ito. Hangga’t ang iyong network administrator ay mabilis na kumilos kapag nakaalerto, maaari mong pangkalahatan isara ang mga pag-atake na ito bago magawa ang maraming pinsala.

Disenyo ng imahe batay sa ARP Spoofing sa pamamagitan ng 0x55534C sa ilalim CC3.0

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map