Безопасность протокола ARP
На сайте компании http://www.redline-software.comразмещен цикл статей, посвященных сетевым атакам. Одна из этих атак, относящихся к типу Man-in-the-Middle– ARPCachePoisoning. Повторим её в лабораторных условиях, согласно описанию с сайта.
Делаем тестовую сеть, состоящую из маршрутизатора, ПК злоумышленника и ПК жертвы. ПК подключаются через коммутатор в сеть, через маршрутизатор осуществляется доступ в Интернет.
Фиксируем исходные данные сетевых интерфейсов, выполнив команду ARP–Aна каждом ПК.
Маршрутизатор – IP 192.168.0.1 MAC 00-1b-11-fb-34-ec
ПК злоумышленника – IP 192.168.0.2 MAC 00-1b-fc-8c-b1-74
ПКжертвы– IP 192.168.0.3 MAC b4-82-fe-70-e5-4f
Выбираем нужный интерфейс
Сканируем сеть для определения присутствующих хостов
Выбираем жертву (в моём случае компьютер Samsung)
И запускаем процесс «отравления» ARPкеша.
Смысл атаки заключается в постоянной подмене MACадреса хоста, обладающего IPадресом 192.168.0.1 MACадресом злоумышленника 00-1b-fc-8c-b1-74.
После того, как атака «включена» трафик начинает перенаправляться через ПК злоумышленника. Для подтверждения этого достаточно на ПК жертвы проявить какую-нибудь активность, например, зайти на какой-нибудь web-сайт. Все http запросы начинают отображаться в окне программы Cain & Abel на ПК злоумышленника, по которым легко установить сетевую активность, используя общедоступный DNS сервер.
Методы защиты:
- Фиксация соответствий между IPи MACадресами на каждом ПК сети при помощи скриптов из команд “ARP–s<IPaddress> <MACaddress>”.
- Контроль соответствия сетевых пакетов при помощи ПО класса HIPSна каждом ПК сети.
- Контроль соответствия таблиц коммутации на уровне сетевых коммутаторов.
