Alati za korištenje u ARP spoofing napadu
Postoje mnogi alati poput Arpspoof, Cain & Abel, Arpoison i Ettercap koji su dostupni za pokretanje ARP spoofinga.
Evo snimke zaslona koja pokazuje kako spomenuti alati mogu sporno poslati ARP zahtjev:
ARP spoofing napad u detaljima
Pogledajmo neke snimke zaslona i shvatimo ARP lažiranje korak po korak:
Korak 1 :
Napadač očekuje da će dobiti ARP odgovor kako bi saznao MAC adresu žrtve. Sada, ako odemo dalje na danoj snimci zaslona, možemo vidjeti da postoje 2 ARP odgovora s IP adresa 192.168.56.100 i 192.168.56.101. Nakon toga, žrtva [192.168.56.100 i 192.168.56.101] ažurira svoju ARP predmemoriju, ali nije vratila upit. Dakle, unos u ARP predmemoriju nikada se ne ispravlja.
Brojevi paketa ARP zahtjeva su 137 i 138. Brojevi paketa ARP odgovora su 140 i 143.
Dakle, napadač pronalazi ranjivost radeći ARP spoofing. To se naziva 'ulazak u napad'.
Korak 2:
Brojevi paketa su 141, 142 i 144, 146.
Iz prethodne aktivnosti, napadač sada ima važeće MAC adrese 192.168.56.100 i 192.168.56.101. Sljedeći korak za napadača je slanje ICMP paketa na IP adresu žrtve. Na danoj snimci zaslona možemo vidjeti da je napadač poslao ICMP paket i dobio ICMP odgovor s 192.168.56.100 i 192.168.56.101. To znači da su obje IP adrese [192.168.56.100 i 192.168.56.101] dostupne.
Korak 3:
Vidimo da postoji zadnji ARP zahtjev za 192.168.56.101 IP adresu za potvrdu da je host aktivan i da ima istu MAC adresu 08:00:27:dd:84:45.
Zadani broj paketa je 3358.
Korak 4:
Postoji još jedan ICMP zahtjev i odgovor s IP adresom 192.168.56.101. Brojevi paketa su 3367 i 3368.
Odavde možemo misliti da napadač cilja žrtvu čija je IP adresa 192.168.56.101.
Sada svaka informacija koja dolazi s IP adrese 192.168.56.100 ili 192.168.56.101 na IP 192.168.56.1 dolazi do MAC adrese napadača čija je IP adresa 192.168.56.1.
Korak 5:
Nakon što napadač ima pristup, pokušava uspostaviti stvarnu vezu. Na danoj snimci zaslona vidimo da napadač pokušava uspostaviti HTTP vezu. Unutar HTTP-a postoji TCP veza što znači da bi trebalo postojati trosmjerno rukovanje. Ovo su razmjene paketa za TCP:
SYN -> SYN+ACK -> ACK.
Na danoj snimci zaslona možemo vidjeti da napadač više puta pokušava SYN paket na različitim portovima. Broj okvira 3460 do 3469. Broj paketa 3469 SYN je za priključak 80 koji je HTTP.
Korak 6:
Prvo uspješno TCP rukovanje prikazano je na sljedećim brojevima paketa s dane snimke zaslona:
4488: SYN okvir od napadača
4489: SYN+ACK okvir s 192.168.56.101
4490: ACK okvir od napadača
Korak 7:
Nakon što je TCP veza uspješna, napadač može uspostaviti HTTP vezu [broj okvira 4491 do 4495] nakon čega slijedi SSH veza [broj okvira 4500 do 4503].
Sada napad ima dovoljno kontrole da može učiniti sljedeće:
- Napad otmice sesije
- Čovjek u sredini napada [MITM]
- Napad uskraćivanjem usluge (DoS).
Kako spriječiti ARP spoofing napad
Ovdje su neke zaštite koje se mogu poduzeti kako bi se spriječio ARP spoofing napad:
- Korištenje 'Static ARP' unosa
- Softver za otkrivanje i sprječavanje lažiranja ARP-a
- Filtriranje paketa
- VPN-ovi itd.
Također, mogli bismo spriječiti da se ovo ponovno dogodi ako koristimo HTTPS umjesto HTTP-a i koristimo sigurnost prijenosnog sloja SSL (Secure Socket layer). To je tako da je sva komunikacija šifrirana.
Zaključak
Iz ovog članka smo dobili neke osnovne ideje o ARP spoofing napadu i kako se može pristupiti bilo kojem resursu sustava. Također, sada znamo kako zaustaviti ovu vrstu napada. Ove informacije pomažu mrežnom administratoru ili bilo kojem korisniku sustava da se zaštiti od ARP spoofing napada.