Orta MitM'deki Basit Adam (ARP Spoofing) saldırısı

ARP Sahtekarlığı nedir?Teknik ARP Sahtekarlığı Temel olarak, ARP protokolündeki bir tasarım güvenlik açığından ve ana bilgisayarlarda ARP önbelleğinin uygulanmasından oluşur.

Ağ katmanında (ISO/OSI) kaynak ve hedef sistemler, IP adresleri ile iyi tanımlanır, ancak Bağlantı katmanı düzeyinde, her bir ana bilgisayarın MAC adreslerinin belirlenmesi gerekir.

ARP (RFC 826), IP protokolü ile MAC protokolü arasında olduğu gibi, iki farklı adresleme şeması arasında bir adres çeviri protokolüdür. Temel olarak bir Ethernet ağındaki işlevi, IP adresi verilen bir istasyonun MAC adresini belirlemektir. Çeviri, sorgu mesajları ve ARP yanıtları alışverişi yoluyla gerçekleştirilir.

Temel mekanizma, yayın adresine 28 baytlık bir mesaj göndererek çalışır ve yalnızca doğru ana bilgisayar, sorguyu gönderene doğrudan yanıt verir.

ARP sorgusunun tüm cihazlara ulaşması için hedef MAC adresi FF: FF: FF: FF: FF: FF (A.K.A. Yayın MAC adresi) belirtilir. Bir Anahtar, FF: FF: FF: FF: FF: FF için hedeflenen bir çerçeve aldığında, söz konusu çerçeveyi diğer tüm bağlantı noktalarından iletmeye devam eder (amaç, tüm ana bilgisayarların soruyu "dinlemesidir").

BÜYÜT

Elde edilen yanıt, hedef MAC adresini belirlemek için kullanılır ve böylece iletim başlayabilir.

BÜYÜT

Elde edilen IP-MAC ilişkisi, ARP girişleri tablosunda (ARP önbelleği) geçici olarak depolanacaktır, öyle ki Bob gelecekte tekrar Alice'e veri göndermeye çalışırsa, tek yapması gereken ARP önbellek tablosuna başvurmak olacaktır. Alice'in MAC'ini belirleyin. "tekrar sormaya" gerek yok.

İşletim sistemi uygulamasına bağlı olarak, bu ARP önbellek girdileri, son kullanımlarına, MAC adresinin en son ne zaman "gözlemlendiğine" vb. göre güncellenebilir. Ayrıca manuel konfigürasyon ile statik olarak da ayarlanabilirler.

Her durumda, ARP protokolü ARP yanıtında elde edilen verileri doğrulamaz, yani Bob, belirli bir MAC'in Alice'in IP'sine bağlı olduğunu belirten bir ARP yanıtı alırsa, Bob bilgiyi "tereddütsüz" kabul edecektir. Önceden bir soru sormadan ARP yanıtları göndermenize izin verilir ve bunlara "gereksiz ARP" mesajları denir. Bu mesajlar, onları alan sistemler tarafından ARP önbellek tablosundaki bilgileri güncellemek için kullanılacaktır.

Saldırgan, kendi MAC'inin Alice'in IP'sine karşılık geldiğini belirterek önceden bir soru sormadan kasıtlı olarak ARP yanıtları gönderebilir (“gereksiz arp”) ve Bob bu yanıtları “son dakika bilgisi” olarak kabul edecek ve ARP'deki girişi güncellemeye devam edecektir. Saldırganın MAC'i ile Alice'in IP'si için önbellek tablosu.

ARP Spoofing tekniği, MAC-IP çevirisiyle ilgili yanlış bilgiler göndermekten oluşur.; Bob, ARP önbelleğini güncellemek için bu yanlış bilgiyi kullandığında, bir ARP zehirlenmesi durumu (ARP Zehirlenmesi) meydana gelir.

Bu durum, Bob'un Alice'in IP'sine gönderdiği çerçevelerin Switch tarafından Saldırganın portuna iletilmesine neden olacaktır (Switch'in MAC'lere baktığını unutmayın).

Şimdi, eğer saldırgan aynı tekniği Alice'e uygularsa ve Alice'i Saldırganın MAC adresinin Bob'un IP adresine karşılık geldiğine ikna ederse, o zaman saldırgan Bob'u kendisinin Alice olduğuna ve Alice'in de Bob olduğuna ikna ederek bir ara durum elde eder (Man in the Orta).

Trafiği aktif tutmak ve üst katmandaki iletişim sorunlarından kaçınmak için çerçeveleri her sisteme iletmek Saldırganın sorumluluğunda olacaktır. Ek olarak, Saldırgan trafiği inceleyebilir, hassas veriler elde edebilir, bilgileri manipüle edebilir, vb.

İlgili sistemler

Test için kullanım sistemleriBob AA: BB: CC: 11: 22: 33 (192.168.0.1/24)
Alice AA: BB: CC: 22: 33: 44 (192.168.0.2/24)
Saldırgan AA: BB: CC: 88: 88: 88 (192.168.0.3/24)

Saldıran sistem için kullanılacak GNU / Linux Ubuntu ve kurbanlar için Windows XP SP3 kullanacağım ama kurbanın işletim sistemi gerçekten önemli değil. İlk olarak, ARP Zehirlenmesini test etmek için kurbanlara ARP Spoofing mesajlarının gönderilmesine izin veren bir araç kullanılmalıdır. Bu eğitimde, temelde parola koklama için bir araç takımı olan "dsniff" kullanacağım.

İçerisinde bulunan araçlar arasında dsniff paketi, bulundu"arpspoof”, Temel olarak belirlenen kurban üzerinde ARP Spoofing gerçekleştirir.

NS dsniff'i yükle bir terminal yazın:

 $ sudo apt-get install dsniff 
Bununla kuruyorsunuz.

Saldırı öncesi analiz


İlk anda, Bob'un ARP önbelleğinde, Alice'in IP adresinin MAC AA: BB: CC: 22: 33: 44'e karşılık geldiğini gösteren bir girişi vardır.

ARP önbellek tablosunu görüntülemek için şuraya gidin:

  • Başlangıç
  • Çalıştırmak
  • cmd

Windows terminalinde şunu yazın:

 Büyük çadır 
Bob'un ARP önbellek tablosunun mevcut içeriğini alacaksınız:

Benzer şekilde Alice'in bilgisayarında:

Saldırı


İlk durumda, yönlendirme biti Saldırgan sisteminde:
 # echo 1> / proc / sys / net / ipv4 / ip_forward 
Bu şekilde paket kaybı önlenir, Bob ve Alice hiçbir şey olmamış gibi etkileşime geçebileceklerdir.

NS arpspoof komutu aşağıdaki gibi kullanılır:

 # arpspoof -i INTERFAZ_LAN -t IP_VICTIMA_POISONING IP_VICTIMA_SPOOFED 
Nereden:

INTERFAZ_LANSaldırı için kullanacağımız ağ kartı, ARP Spoofing mesajları için o arayüzün MAC adresi alınacaktır.

IP_VICTIMA_POISONINGARP önbellek tablosu zehirlenen kurbanın IP adresidir.

IP_VICTIMA_SPOOFEDSaldırganın MAC'inin ilişkilendirileceği kurbanın ARP önbellek tablosundaki girişi gösteren IP adresidir.

Alice'i Bob'un MAC AA: BB: CC: 88: 88: 88'e sahip olduğuna ikna etmek için, Saldırgan sistem terminalinde arpspoof'u aşağıdaki gibi çalıştırın:

 # arpspoof -i eth0 -t 192.168.0.2 192.168.0.1
ARP yanıt mesajları, manipüle edilmiş bilgilerle Alice'e gönderilecektir:

BAŞKA BİR terminali başlatın (önceki kesintiye uğramamalıdır) ve Bob'u Alice'in MAC AA: BB: CC: 88: 88: 88'e sahip olduğuna ikna etmek için saldırıyı ters yönde yürütün, Saldırgan sistemi terminalinde arpspoof'u aşağıdaki gibi yürütün :

 # arpspoof -i eth0 -t 192.168.0.1 192.168.0.2 
ARP yanıt mesajları, manipüle edilmiş bilgilerle Bob'a gönderilecek:

Bu noktadan itibaren Saldırgan, manipüle edilmiş ARP mesajları göndererek bir aracının (MitM) durumunu korur:

BÜYÜT

İlk adımları tekrarlayarak, Bob'un ve Alice'in ARP önbellek girişlerinin Saldırganın MAC'i ile nasıl güncellendiğini kontrol etmek mümkündür:

Bob'un ARP önbelleği:

Alice'in ARP önbelleği:

Bob'un Alice'e gönderdiği kareler Saldırgan'a iletilir ve Saldırgan bunları Alice'e iletir. Aynı şekilde Alice'in gönderdiği kareler Saldırgan'a iletilir ve o da bunları Bob'a iletir.

BÜYÜT

Saldırgan, ağ kartıyla karışık modda trafiği yakalayabilir ve örneğin SSL kullanmayan bir web portalına erişim kimlik bilgilerini alabilir.

Örneğin, aşağıdaki trafik yakalamada, bir saldırgan bir PHPMyAdmin portalına erişim kimlik bilgilerini aldı: (Kullanıcı "kök", parola "ad00")

BÜYÜT

Son olarak, iletişimi kesintiye uğratmadan saldırıyı kapatmak için saldırgan tuşlara basarak "arpspoof" terminalini durdurur:

Ctrl + C

Ve araç, ARP önbellek bilgilerinin doğru verilerle güncellenmesi için her kurbana otomatik olarak ARP sorguları gönderir.

Bu zamana kadar, Saldırgan iletişimleri serbest bırakır ve halihazırda elde edilen trafiği analiz etmek için ağ bağlantısını kesebilir.

Bazı antivirüs sistemleri, ARP önbellek tablosundaki girişlerin değişikliklerini izler, GNU / Linux için bile “ adlı bir araç vardır.ARPİzle”Bu, sistemin ARP önbellek tablolarındaki ARP-IP ilişkisindeki bir değişikliği uyarır.

Başka bir makalede, önlemek için olası teknikler ARP Spoofing ve ARP Poisoning'e dayalı MitM saldırıları.

Bu Eğitimi beğendiniz ve yardım ettiniz mi?Yazara olumlu puan vermek için bu düğmeye basarak yazarı ödüllendirebilirsiniz.
wave wave wave wave wave