Como os hackers usam protocolo de resolução de endereço para penetrar redes
Hackers podem usar ARP (Address Resolution Protocol) em execução na sua rede para tornar seus sistemas de aparecer como seu sistema ou outro host autorizado em sua rede. Tenha isso em mente ao desenvolver suas contramedidas de segurança.
Conteúdo
ARP spoofing
Um número excessivo de solicitações ARP pode ser um sinal de um ARP spoofing ataque à sua rede.
Um cliente que executa um programa, como o dsniff ou Caim & Abel, pode alterar as tabelas ARP - as tabelas que armazenam os endereços IP para contr acesso à mídiaol mapeamentos de endereço - em hosts da rede. Isso faz com que os computadores das vítimas a pensar que precisam para enviar tráfego para o computador do atacante ao invés do verdadeiro computador de destino quando se comunicar na rede.
respostas ARP falsificados podem ser enviadas para um interruptor, que reverte a mudança para modo de transmissão e, essencialmente, transforma-o em um concentrador. Quando isso ocorre, um atacante pode capturar todos os pacotes passando o interruptor e capturar qualquer coisa e tudo a partir da rede.
Aqui está um típico ataque spoofing ARP com o computador de um hacker (Hacky) e dois computadores de usuários de rede legítimos (Joe e Bob):
venenos hacky os caches ARP de vítimas Joe e Bob usando dsniff, ettercap, ou um utilitário, escreveu ele.
Joe associa o endereço MAC do Hacky com o endereço IP de Bob.
Bob associa o endereço MAC do Hacky com o endereço IP de Joe.
tráfego de Joe e tráfego de Bob são enviados para o endereço IP do Hacky primeiro.
analisador de rede de Hacky captura o tráfego de Joe e Bob.
Caim & Abel para o envenenamento ARP
Você pode executar o envenenamento ARP em sua rede Ethernet comutada para testar suas IPS ou para ver como é fácil para ligar um interruptor em um hub e capturar qualquer coisa com um analisador de rede.
Execute as seguintes etapas para usar Cain & Abel para o envenenamento ARP:
carregar Cain & Abel e, em seguida, clique na guia Sniffer para entrar no modo de analisador de rede.
Clique no ícone Start / Stop abril
O processo de roteamento veneno ARP começa e permite que o sniffer embutido.
Se solicitado, selecione o adaptador de rede na janela que aparece e, em seguida, clique em OK.
Clique no ícone azul + para adicionar anfitriões para realizar ARP envenenamento por diante.
Na janela Endereço Scanner do MAC que aparece, certifique-se os todos os hosts na minha opção de sub-rede é selecionado e clique em OK.
Clique na guia abril para carregar a página abril
Clique no espaço em branco sob o título coluna Status superior.
Esta re-permite que o ícone azul +.
Clique no ícone azul + ea janela do veneno Routing o New ARP mostra os anfitriões descobertos na Etapa 3.
Selecione sua rota padrão.
O direito; coluna do lado enche de todos os anfitriões restantes.
Ctrl + clique todos os anfitriões na coluna da direita que pretende envenenar.
Clique em OK e o processo de envenenamento ARP inicia.
Este processo pode levar de alguns segundos a alguns minutos, dependendo do seu hardware de rede e local da pilha TCP / IP uns dos anfitriões.
Você pode usar Cain & senhas embutidas de Abel apresentam para capturar senhas que atravessam a rede de e para vários anfitriões simplesmente clicando na guia senhas.
As etapas anteriores mostram como é fácil para explorar uma vulnerabilidade e provar que switches Ethernet não são todos eles são rachados até ser.
MAC falsificação de endereço
Endereço MAC spoofing truques os interruptor em pensar o seu computador é outra coisa. Você simplesmente mudar o endereço MAC do seu computador e mascarar-se como outro usuário.
Você pode usar esse truque para testar sistemas de controle de acesso, tais como o seu IPS / firewall, e até mesmo seus controles de login do sistema operacional que verificam endereços MAC específicos.
sistemas baseados em UNIX
No UNIX e Linux, você pode falsificar endereços MAC com o utilitário ifconfig. Siga esses passos:
Enquanto logado como root, use ifconfig para introduzir um comando que desativa a interface de rede.
Insira o número de interface de rede que deseja desativar no comando, assim:
[Root @ localhost root] # ifconfig eth0 down
Digite um comando para o endereço MAC que você deseja usar.
Insira o endereço MAC falso eo número de interface de rede (eth0) para o comando novamente, como este:
[Root @ raiz localhost] # ifconfig eth0 hw ethernew_mac_address
Você pode usar um utilitário mais rico em recurso chamado GNU MAC trocador para sistemas Linux.
janelas
Você pode usar o regedit para editar o Registro do Windows, ou você pode usar um utilitário do Windows chamado puro SMAC, o que torna MAC falsificação de um processo simples. Siga estes passos para utilizar SMAC:
Carregar o programa.
Selecione o adaptador para o qual você quer mudar o endereço MAC.
Digite o novo endereço MAC nos campos Endereço New Spoofed MAC e clique no botão Atualizar MAC.
Pare e reinicie a placa de rede com estes passos:
Video: Como abrir portas no roteador (NAT Router)
direito; clique na placa de rede em rede e de conexões dial-up e, em seguida, escolha Desativar.
direito; clique novamente e, em seguida, escolha Ativar para que a alteração tenha efeito.
Clique no botão Atualizar na interface SMAC.
Para reverter mudanças de registro com SMAC, siga estes passos:
Video: Detectando proxy e capturando o ip verdadeiro (Proxy pelo navegador)
Selecione o adaptador para o qual você quer mudar o endereço MAC.
Clique no botão MAC Remover.
Pare e reinicie a placa de rede com estes passos:
direito; clique na placa de rede em rede e de conexões dial-up e, em seguida, escolha Desativar.
direito; clique novamente e, em seguida, escolha Ativar para que a alteração tenha efeito.
Clique no botão Atualizar na interface SMAC.
Você deverá ver o seu endereço MAC original novamente.
Medidas contra o envenenamento ARP e MAC ataques endereço spoofing
Alguns contramedidas em sua rede pode minimizar os efeitos de um ataque contra endereços ARP e MAC:
Prevenção: Você pode impedir que o endereço MAC spoofing se seus switches podem ativar a segurança da porta para evitar alterações automáticas no tabelas de endereços MAC.
Detecção: Você pode detectar estes dois tipos de hacks através de um um utilitário de monitoramento de endereço MAC autônomo IPS ou.
arpwatch é um programa baseado em Linux que o alerta via e-mail quando detecta alterações em endereços MAC associados a endereços IP específicos na rede.