Подмена ARP - ARP spoofing
В компьютерной сети , ARP спуфинга , отравление кэша ARP , или маршрутизации ядовитым ARP , является метод , с помощью которой злоумышленник посылает ( поддельный ) Address Resolution Protocol (ARP) сообщений на локальной сети . Как правило, цель состоит в том, чтобы связать MAC-адрес злоумышленника с IP-адресом другого хоста , такого как шлюз по умолчанию , в результате чего любой трафик, предназначенный для этого IP-адреса, вместо этого отправляется злоумышленнику.
Подмена ARP может позволить злоумышленнику перехватить фреймы данных в сети, изменить трафик или остановить весь трафик. Часто атака используется в качестве открытия для других атак, таких как отказ в обслуживании , человек посередине или атаки с захватом сеанса .
Атака может быть использована только в сетях, использующих ARP, и требует, чтобы злоумышленник имел прямой доступ к сегменту локальной сети для атаки.
Уязвимости ARP
Address Resolution Protocol (ARP), широко используемый протокол связи для решения Интернета слоя адреса в канальном уровне адреса.
Когда дейтаграмма Интернет-протокола (IP) отправляется с одного хоста на другой в локальной сети , IP-адрес назначения должен быть преобразован в MAC-адрес для передачи через уровень канала данных . Когда известен IP-адрес другого хоста и необходим его MAC-адрес, в локальную сеть отправляется широковещательный пакет . Этот пакет известен как запрос ARP . Затем конечный компьютер с IP-адресом в ARP-запросе отвечает ARP-ответом, который содержит MAC-адрес для этого IP-адреса.
ARP - это протокол без сохранения состояния . Сетевые узлы автоматически кэшируют любые полученные ARP-ответы независимо от того, запрашивали ли их сетевые узлы. Даже записи ARP, срок действия которых еще не истек, будут перезаписаны при получении нового пакета ответа ARP. В протоколе ARP нет метода, с помощью которого хост может аутентифицировать однорангового узла, от которого исходит пакет. Такое поведение является уязвимостью, которая позволяет спуфингу ARP.
Анатомия атаки
Основной принцип спуфинга ARP заключается в использовании отсутствия аутентификации в протоколе ARP путем отправки поддельных сообщений ARP в локальную сеть. Атаки с подменой ARP могут запускаться со скомпрометированного хоста в локальной сети или с машины злоумышленника, подключенной непосредственно к целевой локальной сети.
Злоумышленник, использующий спуфинг ARP, маскируется под хост для передачи данных в сети между пользователями. Тогда пользователи не будут знать, что злоумышленник не является настоящим хостом в сети.
Как правило, цель атаки - связать MAC-адрес хоста злоумышленника с IP-адресом целевого хоста , чтобы любой трафик, предназначенный для целевого хоста, был отправлен на хост злоумышленника. Злоумышленник может выбрать проверку пакетов (шпион), перенаправляя трафик в фактическое место назначения по умолчанию, чтобы избежать обнаружения, изменить данные перед их пересылкой ( атака человек посередине ) или запустить отказ в обслуживании. атака путем отбрасывания некоторых или всех пакетов в сети.
Оборона
Статические записи ARP
Самая простая форма сертификации - это использование статических записей только для чтения для критических служб в кэше ARP хоста. Сопоставления IP-адреса с MAC-адресом в локальном кэше ARP можно вводить статически. Хостам не нужно передавать запросы ARP, если такие записи существуют. Хотя статические записи обеспечивают некоторую защиту от подделки, они требуют усилий по обслуживанию, поскольку сопоставления адресов для всех систем в сети должны быть сгенерированы и распределены. Это не масштабируется в большой сети, так как сопоставление должно быть установлено для каждой пары машин, что приводит к n 2 - n записям ARP, которые должны быть настроены при наличии n машин; На каждой машине должна быть запись ARP для каждой другой машины в сети; n-1 запись ARP на каждой из n машин.
Программное обеспечение для обнаружения и предотвращения
Программное обеспечение, обнаруживающее спуфинг ARP, обычно полагается на ту или иную форму сертификации или перекрестной проверки ответов ARP. Затем несертифицированные ответы ARP блокируются. Эти методы могут быть интегрированы с DHCP-сервером, чтобы сертифицировались как динамические, так и статические IP- адреса. Эта возможность может быть реализована на отдельных хостах или может быть интегрирована в коммутаторы Ethernet или другое сетевое оборудование. Наличие нескольких IP-адресов, связанных с одним MAC-адресом, может указывать на атаку с подменой ARP, хотя существуют законные способы использования такой конфигурации. При более пассивном подходе устройство прослушивает ответы ARP в сети и отправляет уведомление по электронной почте при изменении записи ARP.
AntiARP также обеспечивает предотвращение спуфинга на основе Windows на уровне ядра. ArpStar - это модуль Linux для ядра 2.6 и маршрутизаторов Linksys, который отбрасывает недопустимые пакеты, нарушающие сопоставление, и содержит параметр для повторного отравления / лечения.
Некоторые виртуализированные среды, такие как KVM, также предоставляют механизмы безопасности для предотвращения подмены MAC-адресов между гостевыми компьютерами, работающими на одном хосте.
Кроме того, некоторые адаптеры Ethernet предоставляют функции защиты от спуфинга MAC и VLAN.
OpenBSD пассивно наблюдает за хостами, олицетворяющими локальный хост, и уведомляет в случае любой попытки перезаписать постоянную запись.
Безопасность ОС
Операционные системы реагируют по-разному. Linux игнорирует нежелательные ответы, но, с другой стороны, использует ответы на запросы от других машин для обновления своего кеша. Solaris принимает обновления записей только после тайм-аута. В Microsoft Windows поведение кэша ARP можно настроить с помощью нескольких записей реестра в HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Tcpip \ Parameters, ArpCacheLife, ArpCacheMinReferenceLife, ArpUseEtherSNAP, ArpTRSingleRoute, ArpouterySourceRoute, ArpoutelwaysSourceRoute.
Законное использование
Методы, которые используются при спуфинге ARP, также могут использоваться для реализации избыточности сетевых сервисов. Например, некоторое программное обеспечение позволяет серверу резервного копирования выдавать бесплатный запрос ARP , чтобы заменить неисправный сервер и прозрачно предложить избыточность. На сегодняшний день известны две компании, которые пытались коммерциализировать продукты, основанные на этой стратегии: Circle и CUJO. Последний недавно столкнулся с серьезными проблемами со своей стратегией ARP-спуфинга в домах потребителей; теперь они полностью удалили эту возможность и заменили ее стратегией на основе DHCP .
Подмена ARP часто используется разработчиками для отладки IP-трафика между двумя узлами при использовании коммутатора: если узел A и узел B обмениваются данными через коммутатор Ethernet, их трафик обычно невидим для третьего узла мониторинга M. Разработчик настраивает A должен иметь MAC-адрес M для B, а B должен иметь MAC-адрес M для A; а также настраивает M для пересылки пакетов. Теперь M может отслеживать трафик точно так же, как при атаке «злоумышленник посередине».
Инструменты
Оборона
| Имя | Операционные системы | GUI | Бесплатно | Защита | На интерфейс | Активный пассивный | Примечания |
|---|---|---|---|---|---|---|---|
| Межсетевой экран Agnitum Outpost | Окна | да | Нет | да | Нет | пассивный | |
| AntiARP | Окна | да | Нет | да | Нет | активный + пассивный | |
| Противоядие | Linux | Нет | да | Нет | ? | пассивный | Демон Linux, отслеживает сопоставления, необычно большое количество пакетов ARP. |
| Арп_Антидот | Linux | Нет | да | Нет | ? | пассивный | Патч ядра Linux для версий 2.4.18–2.4.20, отслеживает сопоставления, может определить действие, которое нужно предпринять, когда. |
| Arpalert | Linux | Нет | да | Нет | да | пассивный | Предопределенный список разрешенных MAC-адресов, предупреждение, если MAC-адрес отсутствует в списке. |
| АрпОН | Linux | Нет | да | да | да | активный + пассивный | Демон портативного обработчика для защиты ARP от спуфинга, отравления кеша или атак маршрутизации в статических, динамических и гибридных сетях. |
| ArpGuard | Mac | да | Нет | да | да | активный + пассивный | |
| ArpStar | Linux | Нет | да | да | ? | пассивный | |
| Arpwatch | Linux | Нет | да | Нет | да | пассивный | Сохраняйте сопоставления пар IP-MAC, сообщайте об изменениях через системный журнал, электронную почту. |
| ArpwatchNG | Linux | Нет | да | Нет | Нет | пассивный | Сохраняйте сопоставления пар IP-MAC, сообщайте об изменениях через системный журнал, электронную почту. |
| Коласофт Капса | Окна | да | Нет | Нет | да | без обнаружения, только анализ с ручной проверкой | |
| cSploit | Android (только рутированный) | да | да | Нет | да | пассивный | |
| elmoCut | Окна | да | да | Нет | ? | пассивный | Спуфер EyeCandy ARP для Windows |
| Prelude IDS | ? | ? | ? | ? | ? | ? | Плагин ArpSpoof, базовые проверки адресов. |
| Панда Безопасность | Окна | ? | ? | да | ? | Активный | Выполняет базовую проверку адресов |
| перестраивать | Linux | Нет | да | Нет | Нет | пассивный | |
| Фырканье | Windows / Linux | Нет | да | Нет | да | пассивный | Препроцессор Snort Arpspoof, выполняет базовые проверки адресов |
| Winarpwatch | Окна | Нет | да | Нет | Нет | пассивный | Сохраняйте сопоставления пар IP-MAC, сообщайте об изменениях через системный журнал, электронную почту. |
| XArp | Windows, Linux | да | Да (+ про версия) | Да (Linux, про) | да | активный + пассивный | Расширенное обнаружение спуфинга ARP, активное зондирование и пассивные проверки. Два пользовательских интерфейса: нормальный вид с предопределенными уровнями безопасности, профессиональный вид с индивидуальной конфигурацией модулей обнаружения и активная проверка. Windows и Linux, на основе графического интерфейса. |
| Seconfig XP | Только Windows 2000 / XP / 2003 | да | да | да | Нет | активирует только защиту, встроенную в некоторые версии Windows | |
| Занти | Android (только рутированный) | да | да | Нет | ? | пассивный | |
| NetSec Framework | Linux | Нет | да | Нет | Нет | активный | |
| анти-арпспуф | Окна | да | да | ? | ? | ? | |
| DefendARP: | ? | ? | ? | ? | ? | ? | Инструмент для мониторинга и защиты таблиц ARP на основе хоста, предназначенный для использования при подключении к общедоступной сети Wi-Fi. DefendARP обнаруживает атаки отравления ARP, исправляет зараженную запись и определяет MAC и IP-адрес злоумышленника. |
| NetCutDefender: | Окна | ? | ? | ? | ? | ? | Графический интерфейс для Windows, защищающий от ARP-атак |
Спуфинг
Некоторые из инструментов, которые можно использовать для проведения атак с подменой ARP:
- Arpspoof (часть набора инструментов DSniff )
- Арпуазон
- Уловка
- Ettercap
- Seringe
- ARP-FILLUP -V0.1
- arp-sk -v0.0.15
- ARPOc -v1.13
- arpalert -v0.3.2
- arping -v2.04
- arpmitm -v0.2
- arpoison -v0.5
- ArpSpyX -v1.1
- ArpToXin -v 1.0
- Каин и Авель -v 4.3
- cSploit -v 1.6.2
- SwitchSniffer
- APE - механизм отравления ARP
- Симсанг
- zANTI -v2
- elmoCut
- NetSec Framework -v1
- Minary
- NetCut (также имеет функцию защиты)
- ARPpySHEAR
Смотрите также
использованная литература
внешние ссылки
- Стефани Рейнс (2014-10-07). «Очистка кеша ARP в Linux» . Coders Eye . Проверено 5 марта 2018 .