Главная » 2014 » Март » 23 » Обнаружение ARP-спуфинга (продолжение)

12:19
Обнаружение ARP-спуфинга (продолжение)

Поскольку ARP-запрос уже содержит МАС-адрес отправителя, получатель может отправить отклик без выполнения еще одного ARP-запроса. К сожалению, большим недостатком ARP является то, что этот протокол не проверяет состояние (stateless). Это означает, что он не отслеживает отклики на посланные запро- сы и может принимать ответы даже без отправки запроса. Если кто-либо захочет принимать трафик, предназначенный другому узлу, он может посылать фальшивые ARP-отклики, определяющие соответствие выбранного IP-адреса их собственному МАС-адресу. Машины, получившие ложные ARP-ответы, не могут отличить их от истинных и начинают отправлять пакеты на МАС-адрес атакующего.


NAT-серверЕще один побочный эффект такого поведения ARP-протокола заключается в том, что ARP-таблицы обычно используют результаты выполнения только последне- го запроса. Для того чтобы продолжать использовать неверные IP-адреса, взломщику достаточно заполнить узел ARP-ответами, перезаписывающими законные ARP-ответы исходного узла. Такой тип атаки называется искажением ARP-кэша.

Некоторые средства, такие как Ettercap (http://ettercap.sourceforge.net), Dsniff (monkey.org/~dugsong/dsniff/) и Hunt (lln.fsid.cvut.cz/~kra/), применяют подобные технологии как для «вынюхивания» в коммутируемых сетях, так и для атаки «посредника».

Конечно же, эта технология может быть применена к любым двум узлам коммутируемого сегмента, включая локальный шлюз по умолчанию. Для двунаправленного перехвата трафика между узлами А и В атакующий узел С может исказить ARP-кэш узла А, сделав так, чтобы он думал, что IP-адрес узла.

В соответствует МАС-адресу узла С. После этого он искажает ARP-кэш узла В, чтобы тот считал, что IP-адрес узла А соответствует МАС-адресу узла С. К счастью, существуют методы обнаружения именно такого поведения как в совместно используемом, так и в коммутируемом Ethernet-сегменте. Одна из программ, которая поможет сделать это, — Arpwatch (ftp://ftp.ee.lbl.gov/arpwatch.tar.gz). Она выполняет мониторинг интерфейса в произвольном режиме и периодически запи- сывает MAC/IP-пары.

NAT-сервер

При обнаружении аномального поведения, например из- менения одной из известных MAC/IP-пар, программа отправляет в системный протокол сигнал тревоги. Эта программа очень эффективна в совместно используе-мой сети, применяющей концентратор, поскольку одна машина может просматри- вать весь ARP-трафик. Однако в коммутируемых сетях эта программа не работает по причине однонаправленности ARP-ответа. Для достижения высокого уровня обнаружения в коммутируемой среде Arpwatch должна устанавливаться на максимальное количество машин. И все-таки вы не сможете со 100 %-ной достоверностью сказать, какой из узлов атакующий избрал в качестве своей цели. Многие современные коммутаторы позволяют определить «наблюдающий» порт, который может видеть трафик всех остальных портов. Если у вас имеется такой коммутатор, вы можете установить сервер на этот порт и просто запустить на нем Arpwatch.

источник: Локхарт Э. Антихакинг в сети. Трюки.

 

Категория: Безопасность | Просмотров: 1259 | Добавил: george27 | Рейтинг: 4.5/2
Всего комментариев: 0
Имя *:
Email:
Код *:

Похожие темы:

Последнее в Блоге

Как выбрать ноутбук? На что обратить внимание при выборе ноутбука?Как выбрать ноутбук? На что обратить внимание при выборе ноутбука?
Компактный ноутбук от Lenovo бюджетной серии IdeaPad 100-14Компактный ноутбук от Lenovo бюджетной серии IdeaPad 100-14
Обзор игрового ноутбука Acer Predator 17XОбзор игрового ноутбука Acer Predator 17X
Аркадный симулятор Smashy Road: теперь и Windows может похвастаться игрой WantedАркадный симулятор Smashy Road: теперь и Windows может похвастаться игрой Wanted