Hur hackare använder adressreferensprotokoll för att dra in nät

Hackers kan använda ARP (Address Resolution Protocol) som körs på ditt nätverk för att få sina system att visas som ditt system eller en annan behörig värd på ditt nätverk. Tänk på detta när du utvecklar dina säkerhetsåtgärder.

ARP spoofing

Ett alltför stort antal ARP-förfrågningar kan vara ett tecken på en ARP spoofing attack på ditt nätverk.

En klient som kör ett program, som dsniff eller Cain & Abel, kan ändra ARP-tabellerna - tabellerna som lagrar IP-adresser till media access contr ol adressmappningar - på nätverkshanterare. Detta medför att offrets datorer tror att de behöver skicka trafik till attackerens dator istället för den sanna destinationsdatorn när de kommunicerar på nätverket.

Spoofed ARP-svar kan skickas till en strömbrytare, som återgår omkopplaren till sändningsläge och väsentligen förvandlas till ett nav. När detta inträffar kan en angripare snyta varje paket som går igenom brytaren och fånga allt från nätverket.

Här är en typisk ARP-spoofingattack med en hackers dator (Hacky) och två legitima nätverksanvändares datorer (Joe och Bob):

Hacky gifter ARP-cacherna till offren Joe och Bob genom att använda dsniff, eftercap eller ett verktyg han skrev.
Joe associerar Hackys MAC-adress med Bobs IP-adress.
Bob associerar Hackys MAC-adress med Joes IP-adress.
Joe's trafik och Bobs trafik skickas först till Hackys IP-adress först.
Hackys nätverksanalysator fångar Joe och Bobs trafik.

Cain & Abel för ARP-förgiftning

Du kan utföra ARP-förgiftning på ditt switchade Ethernet-nätverk för att testa din IPS eller för att se hur lätt det är att byta omkopplare till ett nav och fånga någonting med en nätverksanalysator.

Utför följande steg för att använda Cain & Abel för ARP-förgiftning:

Ladda Cain & Abel och klicka sedan på fliken Sniffer för att komma in i nätverksanalysatorns läge.
Klicka på ikonen Start / Stop APR.

ARP-giftvägningsprocessen startar och aktiverar den inbyggda snifferen.
Om du blir ombedd väljer du nätverksadaptern i fönstret som visas och klickar sedan på OK.
Klicka på blå + -ikonen för att lägga till värdar för att utföra ARP-förgiftning på.
I fönstret MAC-adressskanner som visas ska du se till att alla värdar i mitt undernätalternativ är markerat och klicka sedan på OK.
Klicka på APR-fliken för att ladda APR-sidan.
Klicka på det vita utrymmet under rubrikrubrikens översta rubrik.

Detta aktiverar blå + -ikonen igen.
Klicka på blå + -ikonen och fönstret New ARP Poison Routing visar de värdar som upptäckts i steg 3.
Välj din standardrutt.

Den högra kolumnen fyller med alla återstående värdar.
Ctrl + klicka på alla värdar i den högra kolumnen som du vill förgifta.
Klicka på OK och ARP-förgiftningsprocessen startar.

Denna process kan ta var som helst från några sekunder till några minuter beroende på din nätverkshårdvara och varje värds lokala TCP / IP-stack.
Du kan använda Cain & Abels inbyggda lösenordsfunktion för att fånga lösenord som går igenom nätverket till och från olika värdar genom att klicka på fliken Lösenord.

De föregående stegen visar hur lätt det är att utnyttja en sårbarhet och bevisa att Ethernet-switchar inte är alla de är knäckta.

MAC-adressspoofing

MAC-adressspoofing tricks switchen för att tro att din dator är något annat. Du ändrar helt enkelt datorns MAC-adress och maskerad som en annan användare.

Du kan använda det här tricket för att testa åtkomstkontrollsystem, till exempel din IPS / brandvägg, och till och med ditt operativsystems inloggningskontroller som kontrollerar specifika MAC-adresser.

UNIX-baserade system

I UNIX och Linux kan du spoofa MAC-adresser med ifconfig-verktyget. Följ dessa steg:

När du är inloggad som root, använd ifconfig för att ange ett kommando som inaktiverar nätverksgränssnittet.

Lägg in det nätverksgränssnittsnummer som du vill inaktivera i kommandot, så här:
```
[root @ localhost root] # ifconfig eth0 down
```
Ange ett kommando för MAC-adressen du vill använda.

Sätt in den falska MAC-adressen och nätverksgränssnittsnumret (eth0) i kommandot igen, så här:

[root @ localhost root] # ifconfig eth0 hw ether new_mac_address

Du kan använda en mer funktionsrik verktyg som heter GNU MAC växlare för Linux-system.

Windows

Du kan använda regedit för att redigera Windows-registret, eller du kan använda ett snyggt Windows-verktyg som heter SMAC, vilket gör MAC-spoofing en enkel process. Följ dessa steg för att använda SMAC:

Ladda programmet.
Välj den adapter för vilken du vill ändra MAC-adressen.
Ange den nya MAC-adressen i fälten New Spoofed MAC Address och klicka på Update MAC-knappen.
Stoppa och starta om nätverkskortet med följande steg:
- Högerklicka på nätverkskortet i Nätverks- och uppringningsanslutningar och välj sedan Inaktivera.
- Högerklicka igen och välj sedan Aktivera för ändringen ska träda i kraft.
Klicka på Uppdatera-knappen i SMAC-gränssnittet.

Så här byter du registreringsändringar med SMAC: Följ dessa steg:

Välj den adapter som du vill ändra MAC-adressen till.
Klicka på Ta bort MAC-knappen.
Stoppa och starta om nätverkskortet med följande steg:
- Högerklicka på nätverkskortet i Nätverks- och uppringningsanslutningar och välj sedan Inaktivera.
- Högerklicka igen och välj sedan Aktivera för ändringen ska träda i kraft.
Klicka på Uppdatera-knappen i SMAC-gränssnittet.

Du borde se din ursprungliga MAC-adress igen.

Åtgärder mot ARP-förgiftning och spridningsangrepp från MAC-adresser

Ett fåtal motåtgärder på ditt nätverk kan minimera effekterna av en attack mot ARP- och MAC-adresser:

Förebyggande: Du kan förhindra MAC-adressspoofing om din Omkopplare kan aktivera portsäkerhet för att förhindra automatiska ändringar av MAC-adresstabellerna.
Detektion: Du kan upptäcka dessa två typer av hack genom ett IPS eller ett fristående MAC-adressövervakningsverktyg.

Arpwatch är ett Linux-baserat program som varnar dig via e-post när det upptäcker ändringar i MAC-adresser som är kopplade till specifika IP-adresser i nätverket.