Безопасность протокола ARP

Безопасность протокола ARP

        На сайте компании http://www.redline-software.com размещен цикл статей, посвященных сетевым атакам. Одна из этих атак, относящихся к типу Man-in-the-Middle – ARP Cache Poisoning. Повторим её в лабораторных условиях, согласно описанию с сайта.

        Делаем тестовую сеть, состоящую из маршрутизатора, ПК злоумышленника и ПК жертвы. ПК подключаются через коммутатор в сеть, через маршрутизатор осуществляется доступ в Интернет.

        Фиксируем исходные данные сетевых интерфейсов, выполнив команду ARP –A на каждом ПК.

Маршрутизатор – IP 192.168.0.1 MAC 00-1b-11-fb-34-ec

ПК злоумышленника – IP 192.168.0.2 MAC 00-1b-fc-8c-b1-74

ПК жертвы – IP 192.168.0.3 MAC b4-82-fe-70-e5-4f

Далее скачиваем и устанавливаем ПО Cain & Abel c сайта http://www.oxid.it. 

 Выбираем нужный интерфейс

Сканируем сеть для определения присутствующих хостов

 Выбираем жертву (в моём случае компьютер Samsung)

 И запускаем процесс «отравления» ARP кеша.

Смысл атаки заключается в постоянной подмене MAC адреса хоста, обладающего IP адресом 192.168.0.1 MAC адресом злоумышленника 00-1b-fc-8c-b1-74.

После того, как атака «включена» трафик начинает перенаправляться через ПК злоумышленника. Для подтверждения этого достаточно на ПК жертвы проявить какую-нибудь активность, например, зайти на какой-нибудь web-сайт. Все http запросы начинают отображаться в окне программы Cain & Abel на ПК злоумышленника, по которым легко установить сетевую активность, используя общедоступный DNS сервер.

Методы защиты:

• Фиксация соответствий между IP и MAC адресами на каждом ПК сети при помощи скриптов из команд “ARP –s <IP address> <MAC address>”.
•  Контроль соответствия сетевых пакетов при помощи ПО класса HIPS на каждом ПК сети.
• Контроль соответствия таблиц коммутации на уровне сетевых коммутаторов.