ARP spoofing - ARP spoofing

Úspěšný útok spoofingu (otravy) ARP umožňuje útočníkovi změnit směrování v síti, což umožňuje efektivní útok typu man-in-the-middle.

v počítačové sítě, ARP spoofing, Otrava mezipaměti ARPnebo Směrování ARP jedu, je technika, kterou útočník posílá (vymyšlený ) Protokol pro řešení adres (ARP) zprávy do a místní síť. Obecně je cílem spojit útočníka MAC adresa s IP adresa jiného hostitel, tak jako výchozí brána, což způsobí, že veškerý přenos určený pro tuto adresu IP bude místo toho odeslán útočníkovi.

ARP spoofing může útočníkovi umožnit zachytit datové rámce v síti upravit provoz nebo zastavit veškerý provoz. Útok se často používá jako otvor pro další útoky, například odmítnutí služby, muž uprostřed nebo únos relace útoky.[1]

Útok lze použít pouze v sítích, které používají ARP, a vyžaduje, aby měl útočník přímý přístup k místnímu segment sítě být napaden.[2]

Zranitelnost ARP

The Protokol pro řešení adres (ARP) je široce používán komunikační protokol k vyřešení Internetová vrstva adresy do odkazová vrstva adresy.

Když internetový protokol (IP) datagram je odeslán z jednoho hostitele na druhého v a místní síť, cílová IP adresa musí být vyřešena na a MAC adresa pro přenos přes vrstva datového spojení.[2] Pokud je známa IP adresa jiného hostitele a je potřeba jeho MAC adresa, a vysílací paket je odeslán v místní síti. Tento paket je znám jako ARP požadavek. Cílový stroj s IP v požadavku ARP poté odpoví Odpověď ARP který obsahuje MAC adresu pro tuto IP.[2]

ARP je a bezstavový protokol. Síťoví hostitelé budou automaticky mezipaměti jakékoli odpovědi ARP, které dostanou, bez ohledu na to, zda je hostitelé sítě požadovali. Při přijetí nového paketu odpovědí ARP budou přepsány i položky ARP, jejichž platnost ještě nevypršela. V protokolu ARP neexistuje žádná metoda, kterou by hostitel mohl ověřit peer, ze kterého paket pochází. Toto chování je chybou zabezpečení, která umožňuje spoofing ARP.[1][2]

Anatomie ARP spoofing útoku

Základním principem spoofingu ARP je zneužití nedostatečné autentizace v protokolu ARP odesláním vymyšlený Zprávy ARP do sítě LAN. Útoky spoofingu ARP lze spustit z napadeného hostitele v síti LAN nebo z počítače útočníka připojeného přímo k cílové síti LAN.

Útočník využívající ARP spoofing se bude maskovat jako hostitel přenosu dat v síti mezi uživateli.[3] Uživatelé by pak nevěděli, že útočník není skutečným hostitelem v síti.[3]

Obecně je cílem útoku spojit MAC adresu útočníka s IP adresou cíle hostitel, takže veškerý provoz určený pro cílového hostitele bude odeslán hostiteli útočníka. Útočník se může rozhodnout zkontrolovat pakety (špionáž), zatímco předává provoz do skutečného výchozího cíle, aby se vyhnul odhalení, před přeposláním upravit data (útok man-in-the-middle ), nebo spusťte a útok odmítnutí služby tím, že způsobí vyřazení některých nebo všech paketů v síti.

Obrana

Statické položky ARP

Nejjednodušší formou certifikace je použití statických položek určených pouze ke čtení pro kritické služby v mezipaměti ARP hostitele. Mapování IP adres na MAC adresy v místní mezipaměti ARP může být staticky zadáno. Hostitelé nemusí přenášet požadavky ARP, pokud takové položky existují.[4] Zatímco statické položky poskytují určité zabezpečení proti spoofingu, mají za následek úsilí o údržbu, protože musí být generováno a distribuováno mapování adres pro všechny systémy v síti. To se ve velké síti nemění, protože mapování musí být nastaveno pro každou dvojici strojů, která má za následek n2-n Položky ARP, které je třeba nakonfigurovat, když n stroje jsou přítomny; Na každém počítači musí být položka ARP pro každý další stroj v síti; n-1 Položky ARP na každém z n stroje.

Software pro detekci a prevenci spoofingu ARP

Software, který detekuje ARP spoofing, se obecně spoléhá na nějakou formu certifikace nebo křížové kontroly ARP odpovědí. Necertifikované odpovědi ARP jsou poté blokovány. Tyto techniky mohou být integrovány do DHCP server takže oba dynamický a statická IP adresa adresy jsou certifikovány. Tato schopnost může být implementována v jednotlivých hostitelích nebo může být integrována do Ethernetové přepínače nebo jiné síťové zařízení. Existence více IP adres přidružených k jedné MAC adrese může naznačovat spoof útok ARP, i když existuje legitimní použití takové konfigurace. V pasivnějším přístupu zařízení naslouchá ARP odpovědím v síti a odesílá oznámení prostřednictvím e-mailem když se změní položka ARP.[5]

AntiARP[6] také poskytuje prevenci spoofingu na bázi Windows na úrovni jádra. ArpStar je modul Linux pro směrovače jádra 2.6 a Linksys, který vypouští neplatné pakety, které porušují mapování, a obsahuje možnost repoison / heal.

Některá virtualizovaná prostředí jako např KVM také poskytuje bezpečnostní mechanismus, aby se zabránilo spoofingu MAC mezi hosty běžícími na stejném hostiteli.[7]

Některé ethernetové adaptéry navíc poskytují funkce proti spoofingu pomocí MAC a VLAN.[8]

OpenBSD pasivně sleduje hostitele vydávající se za místního hostitele a upozorňuje v případě jakéhokoli pokusu o přepsání trvalého záznamu[9]

Zabezpečení OS

Operační systémy reagují odlišně. Linux ignoruje nevyžádané odpovědi, ale na druhou stranu používá odpovědi na požadavky z jiných strojů k aktualizaci své mezipaměti. Solaris přijímá aktualizace záznamů až po vypršení časového limitu. V systému Microsoft Windows lze chování mezipaměti ARP konfigurovat prostřednictvím několika položek registru v HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services Tcpip Parameters, ArpCacheLife, ArpCacheMinReferenceLife, ArpUseEtherSNAP, ArpTRSingleRoute, ArpAlwaysSourceRoute, ArpAlwaysSourceRoute.[10]

Legitimní použití

Viz také: Proxy ARP

Techniky, které se používají při spoofingu ARP, lze také použít k implementaci redundance síťových služeb. Některý software například umožňuje záložnímu serveru vydat a bezodplatný požadavek ARP aby převzal kontrolu nad vadným serverem a transparentně nabídl redundanci.[11][12] Existují dvě dosud známé společnosti, které se pokusily komercializovat produkty soustředěné kolem této strategie, Disney Circle[13] a CUJO. Ten se v poslední době potýkal s významnými problémy se svou strategií spoofingu ARP v domácnostech spotřebitelů; nyní tuto schopnost zcela odstranili a nahradili ji a DHCP -založená strategie.

ARP spoofing vývojáři často používají k ladění provozu IP mezi dvěma hostiteli, když se používá přepínač: pokud hostitel A a B komunikují prostřednictvím ethernetového přepínače, jejich provoz by za normálních okolností byl neviditelný pro třetího hostitele M. A mít MAC adresu M pro B a B mít MAC adresu M pro A; a také konfiguruje M pro předávání paketů. M nyní může sledovat provoz, přesně jako při útoku typu man-in-the-middle.

Nástroje

Obrana

názevOSGUIVolný, uvolnitOchranaNa rozhraníAktivní pasivníPoznámky
Agnitum Outpost FirewallOknaAnoNeAnoNepasivní
AntiARPOknaAnoNeAnoNeaktivní + pasivní
Protijed[14]LinuxNeAnoNe?pasivníLinuxový démon, monitoruje mapování, neobvykle velký počet ARP paketů.
Arp_Antidote[15]LinuxNeAnoNe?pasivníLinux Kernel Patch pro 2.4.18 - 2.4.20, sleduje mapování, může definovat akci, která se má provést kdy.
ArpalertLinuxNeAnoNeAnopasivníPředdefinovaný seznam povolených MAC adres, upozornění, pokud MAC není v seznamu.
ArpONLinuxNeAnoAnoAnoaktivní + pasivníPřenosný démon obslužné rutiny pro zabezpečení ARP proti spoofingu, otravě mezipaměti nebo útokům směrování otravy ve statických, dynamických a hybridních sítích.
ArpGuardMacAnoNeAnoAnoaktivní + pasivní
ArpStarLinuxNeAnoAno?pasivní
HodinkyLinuxNeAnoNeAnopasivníUdržujte mapování párů IP-MAC, oznamujte změny prostřednictvím Syslog, e-mailu.
ArpwatchNGLinuxNeAnoNeNepasivníUdržujte mapování párů IP-MAC, oznamujte změny prostřednictvím Syslog, e-mailu.
Colasoft CapsaOknaAnoNeNeAnožádná detekce, pouze analýza s manuální kontrolou
cSploit[16]Android (pouze rootované)AnoAnoNeAnopasivní
Předehra IDS??????Plugin ArpSpoof, základní kontroly adres.
Zabezpečení PandaOkna??Ano?AktivníProvádí základní kontroly adres
remarpLinuxNeAnoNeNepasivní
ŠňupatWindows / LinuxNeAnoNeAnopasivníOdfrknout preprocesor Arpspoof, provádí základní kontroly adres
WinarpwatchOknaNeAnoNeNepasivníUdržujte mapování párů IP-MAC, oznamujte změny prostřednictvím Syslog, e-mailu.
XArp[17]Windows, LinuxAnoAno (+ verze pro)Ano (Linux, pro)Anoaktivní + pasivníPokročilá detekce spoofingu ARP, aktivní sondování a pasivní kontroly. Dvě uživatelská rozhraní: normální zobrazení s předdefinovanými úrovněmi zabezpečení, profesionální zobrazení s konfigurací detekčních modulů na každé rozhraní a aktivním ověřováním. Windows a Linux, založené na grafickém uživatelském rozhraní.
Seconfig XPPouze Windows 2000 / XP / 2003AnoAnoAnoNeaktivuje pouze ochranu integrovanou v některých verzích systému Windows
zANTIAndroid (pouze rootované)AnoAnoNe?pasivní
NetSec FrameworkLinuxNeAnoNeNeaktivní
anti-arpspoof[18]OknaAnoAno???
DefendARP:[19]??????Hostitelský nástroj pro sledování a obranu tabulky ARP navržený pro použití při připojení k veřejné wifi. DefendARP detekuje útoky otravy ARP, opravuje otrávený vstup a identifikuje MAC a IP adresu útočníka.
NetCutDefender:[20]Okna?????GUI pro Windows, které chrání před útoky ARP

Spoofing

Některé z nástrojů, které lze použít k provádění spoofingových útoků ARP:

Viz také

Reference

  1. ^ A b Ramachandran, Vivek & Nandi, Sukumar (2005). "Detekce ARP spoofingu: aktivní technika". V Jajodia, Suchil & Mazumdar, Chandan (eds.). Zabezpečení informačních systémů: první mezinárodní konference, ICISS 2005, Kalkata, Indie, 19. – 21. Prosince 2005: sborník. Birkhauser. p. 239. ISBN  978-3-540-30706-8.
  2. ^ A b C d Lockhart, Andrew (2007). Hacky zabezpečení sítě. O'Reilly. p.184. ISBN  978-0-596-52763-1.
  3. ^ A b Měsíc, Daesung; Lee, Jae Dong; Jeong, Young-Sik; Park, Jong Hyuk (2014-12-19). „RTNSS: směrovaný systém zabezpečení sítě založený na trasování pro prevenci spoofing útoků ARP“. The Journal of Supercomputing. 72 (5): 1740–1756. doi:10.1007 / s11227-014-1353-0. ISSN  0920-8542.
  4. ^ Lockhart, Andrew (2007). Hacky zabezpečení sítě. O'Reilly. p.186. ISBN  978-0-596-52763-1.
  5. ^ „(PDF) Bezpečnostní přístup k prevenci otravy ARP a obranných nástrojů“. ResearchGate. Citováno 2019-03-22.
  6. ^ AntiARP Archivováno 6. června 2011 v Wayback Machine
  7. ^ https://www.berrange.com/posts/2011/10/03/guest-mac-spoofing-denial-of-service-and-preventing-it-with-libvirt-and-kvm/
  8. ^ https://downloadmirror.intel.com/26556/eng/README.txt
  9. ^ https://man.openbsd.org/arp.4
  10. ^ Protokol pro řešení adres
  11. ^ „Stránka OpenBSD pro CARP (4)“., vyvoláno 04.02.2018
  12. ^ Simon Horman. „Ultra Monkey: převzetí IP adresy“., vyvoláno 2013-01-04
  13. ^ „Kruh s Disneyem uzamkne dětská zařízení na dálku“., vyvoláno 2016-10-12
  14. ^ Protijed
  15. ^ Arp_Antidote
  16. ^ A b „cSploit“. tux_mind. Citováno 2015-10-17.
  17. ^ XArp
  18. ^ anti-arpspoof Archivováno 31. Srpna 2008 v Wayback Machine
  19. ^ Obranné skripty | Otrava ARP
  20. ^ http://www.arcai.com/netcut-defender/
  21. ^ „Lestný projekt“. Citováno 2013-11-18.
  22. ^ „Seringe - staticky kompilovaný nástroj otravy ARP“. Citováno 2011-05-03.
  23. ^ A b C d E F G h i j „Zranitelnosti ARP: Kompletní dokumentace“. l0T3K. Archivovány od originál dne 05.03.2011. Citováno 2011-05-03.
  24. ^ „Nástroj pro otravu mezipaměti ARP pro Windows“. Archivovány od originál 9. července 2012. Citováno 2012-07-13.
  25. ^ "Simsang". Archivovány od originál dne 04.03.2016. Citováno 2013-08-25.
  26. ^ "Minary". Citováno 2018-01-10.
  27. ^ "NetCut".
  28. ^ „ARPpySHEAR: Nástroj otravy mezipaměti ARP, který se má použít při útocích MITM“. Citováno 2019-11-11.

externí odkazy