Anslut till Senaste Tekniska Nyheter, Bloggar, Recensioner

ARP-förgiftningsattack: Hur man gör det på Kali Linux

Vad är ARP-protokollet?

ARP-protokollet (Address Resolution Protocol) är ett av de grundläggande protokollen i IPv4-nätverk, utan detta protokoll skulle vi inte kunna få en IP-adress med DHCP eller kommunicera med andra datorer, även om vi har lagt en privat IP-adress på vår dator. ARP-protokollet tillåter nätverkskommunikation att nå sin destination korrekt, dess mål är att översätta IP-adresser (logiska adresser) till en MAC-adress (fysiska adresser) och vice versa. ARP-protokollet ansvarar för att bilda en tabell med IP-MAC-paret, och att de olika datorerna på det lokala nätverket kan kommunicera med varandra utan problem, dessutom säkerställer det också att datorerna kan kommunicera med routern för att komma åt Internet Eftersom routern även kommer att ha en LAN IP-adress och en MAC-adress, dit de olika datorerna och enheterna skickar sina ramar för att hanteras av routern.

ARP-protokollet finns bara i IPv4-nätverk, i IPv6-nätverk utförs samma arbete av ICMPv6, som innehåller fler funktioner än i IPv4. Vi själva kan se ARP-tabellen på vår dator för att se alla datorer i det lokala nätverket som det för närvarande finns kommunikation med, om vi öppnar en konsol och lägger följande kommando:

arp -a

I följande bild kan du se de privata IP-adresserna (internetadresser) och även MAC-adresserna för alla enheter (fysisk adress). Vi kan se alla ARP-tabeller för de olika nätverkskorten som vi har, en mycket viktig detalj är att vi kan ta bort eller lägga IP-MAC-par från denna ARP-tabell manuellt.

Alla datorer behåller denna ARP-tabell som en cache, så den kommer att förnyas tillfälligt eller när nya datorer dyker upp som vi vill kommunicera med, det vill säga det är en dynamisk tabell och den ändras beroende på vilken kommunikation vi ska göra. På detta sätt, om en viss dator inte känner till MAC för en IP-adress, måste den skicka ett ARP-förfrågningspaket och begära motsvarande MAC-adress från andra datorer.

En av de viktigaste posterna i ARP-tabellen är den som visas av routern, vanligtvis den första IP-adressen på subnätet. ARP-förgiftningsattacker är specifikt inriktade på denna post, och nu ska vi förklara varför. ARP-protokollet utformades inte med syftet att vara säkert, så det verifierar inte när som helst att svaret på en ARP-förfrågan verkligen kommer från en legitim värd, vem som helst kan enkelt och snabbt utge sig för att vara en annan värd och utföra en ARP-förgiftningsattack.

Vad är ARP-förgiftningsattacken?

ARP-förgiftningsattacken består av att förgifta ARP-tabellen för ett offer, vilket får det att tro att routern är angriparen, med syftet att offret vidarebefordrar all sin trafik till denna angripare för att utföra en sniffning av var och en av anslutningarna som prestera. På detta sätt kan en offerenhet omedvetet skicka all sin nätverkstrafik till den här angriparen och utföra två olika typer av attacker:

  • DOS angrepp : om angriparen inte vidarebefordrar anslutningarna till routern för att gå till Internet, kommer vi att göra en denial of service till offret, det vill säga vi kommer att lämna honom utan en internetanslutning.
  • Man i mitten attack : om angriparen vidarebefordrar anslutningarna till routern för att gå till Internet, kommer vi att göra en MitM-attack, erhålla all dess nätverkstrafik för vidare studier, dessutom kan informationen som skickas eller tas emot också ändras i farten offret , faktiskt, en av de farligaste attackerna är SSL-stripping, där en angripare kan “lyfta” HTTPS-trafik och konvertera den till HTTP för att spionera på all kommunikation. Angriparen kommer att kunna fortsätta dirigera all kommunikation och få all information, vilket är det mest normala, i själva verket kommer han att kunna stjäla offrets cookies och utge sig för att vara honom utan att behöva stjäla användarkonton och lösenord.

För att utföra en ARP-förgiftningsattack , är det nödvändigt att uppfylla vissa krav:

  • Angriparen måste vara inom samma nätverk som offret, samma trådbundna nätverk eller samma WiFi-nätverk.
  • Du måste skanna hela det lokala nätverket på jakt efter offrets IP-adress för att senare starta attacken.
  • Du måste använda olika verktyg för att skapa ett falskt ARP-paket och skicka det till offret. Två välkända verktyg för att utföra denna uppgift är Arpspoof och BetterCap, från den senare har du en komplett handledning i den här artikeln.
  • När de falska ARP-paketen väl har skickats till offret kommer de att tro att vi är routern. Men för att kommunikationen ska vara dubbelriktad är det också nödvändigt att få routern att tro att vi är offret, därför måste vi starta två ARP-förgiftningsattacker, en mot offret och den andra mot routern.

När både offret och routern har fått de falska ARP-paketen kommer de att kommunicera med angriparen direkt istället för med varandra, och just nu kommer angriparen att vara mitt i kommunikationen. Nu angriparen

Hur man gör en ARP-förgiftningsattack med Kali Linux

Det första vi måste göra, i listan över applikationer, är att leta efter avsnittet « 9. Sniffning och spoofing «, eftersom det är där vi kommer att hitta de nödvändiga verktygen för att utföra denna datorattack. Därefter öppnar vi « Ettercap-grafisk » och vi kommer att se ett fönster som liknar det följande.

Nu måste vi ange superanvändarlösenordet, det vill säga “root”-lösenordet, som standard är lösenordet “kali”.

Nästa steg är att välja de grundläggande Ettercap-parametrarna, vi kan lämna det med standardparametrarna, det vill säga börja sniffa i början, vi kommer att välja det nätverkskort vi vill ha, som standard är det eth0. Vi lämnar resten av alternativen som de är och klickar på knappen i den övre högra delen för att acceptera ändringarna.

När vi har startat programmet måste vi klicka på “förstoringsglaset” som du ser uppe till vänster, vad Ettercap kommer att göra är att skanna hela det lokala nätverket som vi är anslutna till i jakt på de olika enheterna som är anslutna , och därför några offer att attackera.

Här bör vi få alla värdar eller enheter anslutna till vårt nätverk. Men om de inte alla dyker upp kan vi göra en fullständig genomsökning av nätverket helt enkelt genom att klicka igen på «förstoringsglaset» som vi har i den övre vänstra delen. Efter några sekunder bör listan från tidigare vara uppdaterad som visar alla enheter, med sina respektive IP:er och MAC:er, anslutna till vårt nätverk.

Om du vill utföra en attack riktad mot en enskild värd, till exempel, ersätta identiteten på gatewayen för att övervaka offrets anslutningar som visas i listan över enheter, innan vi påbörjar attacken måste vi fastställa båda målen.

För att göra detta, under listan över värdar kan vi se tre knappar, även om vi kommer att uppmärksamma de två sista:

  • Mål 1 – Vi väljer IP-adressen för enheten för att övervaka, i det här fallet, den drabbade enheten, och klickar på den knappen.
  • Mål 2 – Vi trycker på IP-adressen som vi vill efterlikna, i det här fallet, den till gatewayen.

Allt klart. Nu måste vi bara välja ” MITM ”-menyn högst upp och i den väljer du ” ARP-förgiftning ” alternativet.

Ett litet konfigurationsfönster kommer upp, där vi måste se till att markera « Sniff fjärranslutningar «. Vi måste också lämna alternativet “endast gift envägs” omarkerat, det här alternativet kommer inte att utföra ARP-förgiftning i båda riktningarna utan endast i en, därför har vi inte dubbelriktad kommunikation. Det är mycket viktigt att lämna det här alternativet “endast gift envägs” avmarkerat, det vill säga som det är som standard.

Vi klickar på «Ok» och attacken kommer att äga rum. Nu kan vi ha kontroll över värden som vi har angett som ” Mål 1 “.

Nästa sak vi måste göra är till exempel att köra Wireshark för att fånga alla nätverkspaket och analysera dem i jakt på intressant information eller ta till de olika plugins som Ettercap erbjuder oss, som till exempel fjärrwebbläsaren, där den kommer att ladda oss alla webbplatser som målet besöker. Till exempel har vi gjort den typiska pingningen till Google, det anfallande laget har fångat allt korrekt.

Dessa tekniker är endast för privat användning inom vårt eget nätverk, eller i ett nätverk där vi har tillstånd, logiskt sett kan dessa tekniker användas för olagliga ändamål. Om vi ​​använder dessa tekniker för att övervaka andra människors system, begår vi ett brott.

När vi redan har lärt oss hur vi kan göra denna attack med Kali Linux enkelt och snabbt, låt oss se hur vi kan mildra denna attack.

Upptäck och mildra denna attack för att surfa säkert

Denna attack på datanätverk är mycket populär och är tillgänglig för alla, av denna anledning är det mycket viktigt att veta hur man upptäcker om denna attack utförs på oss, och även hur vi kan mildra denna attack så att den inte gör det. lyckas. I många fall är det enda vi kan göra att kryptera all vår kommunikation så att även om de kan fånga all information, kan de inte läsa någonting alls. Nedan kan du se alla detaljer för att upptäcka och mildra denna attack.

Hur kan jag upptäcka att denna attack utförs på mig?

Det enklaste sättet att upptäcka att en ARP-förgiftning eller ARP-spoofing-attack utförs är att kontrollera ARP-tabellen, med det föregående kommandot «arp -a» kan vi se hela ARP-tabellen för vår enhet, om vi har två IP-adresser med samma fysiska MAC-adress, det betyder att någon utför en Man in the Middle-attack med en ARP-förgiftning. Låt oss till exempel föreställa oss att vi har följande ARP-tabell:

Internetadress Fysisk adress

192.168.1.1 00-01-02-03-04-05
192.168.1.2 00-01-02-03-04-AA
192.168.1.3 00-01-02-03-04-05

I det här fallet kan det perfekt ses att både routern och den andra PC:n har exakt samma MAC-adress. Det betyder att ARP-bordet förgiftas. Det finns säkerhetsprogram som tillåter oss att automatiskt upptäcka om en sådan attack utförs på oss, den kommer kontinuerligt att kontrollera ARP-tabellen för att se om det finns en dubblett av MAC-adressen, sedan skickar den en varning till användaren.

Åtgärder för att mildra denna attack

För en användare är den enda åtgärd som kan vidtas för att mildra denna attack använda ett VPN , kommer detta att garantera konfidentialitet och äkthet för alla anslutningar. Vi måste komma ihåg att det i vissa fall är möjligt att bryta mot HTTPS-anslutningar med SSL-stripping-tekniker, därför, om du vill skyddas mot denna attack, är vår rekommendation att du använder IPsec, OpenVPN eller WireGuard typ VPN, alla av dem kommer att garantera oss säkerhet och integritet i nätverket.

En annan åtgärd som en användare kan vidta är för att registrera en statisk post i vår ARP-tabell , men detta kommer bara att fungera om vi alltid ansluter till samma nätverk, annars skulle vi behöva registrera och ta bort ARP-posten , vilket är väldigt obekvämt. Om det är en statisk dator som en stationär dator kan det göras på detta sätt, men det är mycket bättre att göra det på nätverksnivå av administratören.

När det gäller administratörerna av själva nätverket, för närvarande switchar och routrar/brandväggar har anti-ARP-spoofing-tekniker , på detta sätt, om vi aktiverar dessa säkerhetsåtgärder, kommer det att förhindra en angripare från att attackera en annan användare inom vårt eget nätverk, därför skulle det vara en mycket viktig funktion för att skydda sina egna användare. Vi skulle också kunna aktivera DHCP Snooping för att förhindra en angripare från att sätta upp sin egen DHCP-server för att ge adressering till ett specifikt offer eller till flera.

Slutligen, när vi väl har genomfört dessa begränsningsåtgärder är vår rekommendation att du själv utför den här typen av attack för att verifiera att ditt försvar är effektivt, det vill säga det är mycket viktigt att du kontrollerar din egen säkerhet.