пятница, 15 октября 2010 г.

Безопасность протокола ARP

Безопасность протокола ARP
        На сайте компании http://www.redline-software.com размещен цикл статей, посвященных сетевым атакам. Одна из этих атак, относящихся к типу Man-in-the-MiddleARP Cache Poisoning. Повторим её в лабораторных условиях, согласно описанию с сайта.
        Делаем тестовую сеть, состоящую из маршрутизатора, ПК злоумышленника и ПК жертвы. ПК подключаются через коммутатор в сеть, через маршрутизатор осуществляется доступ в Интернет.
        Фиксируем исходные данные сетевых интерфейсов, выполнив команду ARPA на каждом ПК.
Маршрутизатор – IP 192.168.0.1 MAC 00-1b-11-fb-34-ec
ПК злоумышленника – IP 192.168.0.2 MAC 00-1b-fc-8c-b1-74
ПК жертвы – IP 192.168.0.3 MAC b4-82-fe-70-e5-4f

Далее скачиваем и устанавливаем ПО Cain & Abel c сайта http://www.oxid.it
 Выбираем нужный интерфейс
Сканируем сеть для определения присутствующих хостов
 Выбираем жертву (в моём случае компьютер Samsung)
 И запускаем процесс «отравления» ARP кеша.
Смысл атаки заключается в постоянной подмене MAC адреса хоста, обладающего IP адресом 192.168.0.1 MAC адресом злоумышленника 00-1b-fc-8c-b1-74.
После того, как атака «включена» трафик начинает перенаправляться через ПК злоумышленника. Для подтверждения этого достаточно на ПК жертвы проявить какую-нибудь активность, например, зайти на какой-нибудь web-сайт. Все http запросы начинают отображаться в окне программы Cain & Abel на ПК злоумышленника, по которым легко установить сетевую активность, используя общедоступный DNS сервер.

Методы защиты:
  • Фиксация соответствий между IP и MAC адресами на каждом ПК сети при помощи скриптов из команд “ARPs <IP address> <MAC address>”.
  •  Контроль соответствия сетевых пакетов при помощи ПО класса HIPS на каждом ПК сети.
  • Контроль соответствия таблиц коммутации на уровне сетевых коммутаторов.

Комментариев нет:

Отправить комментарий