ARP-атаки. Анализ атак с использованием ложных ARP-пакетов

Страницы работы

9 страниц (Word-файл)

Содержание работы

Федеральное агентство по образованию Российской Федерации

Сибирский государственный аэрокосмический университет имени академика М.Ф. Решетнева

Факультет информатики и систем управления

Кафедра «Безопасность информационных технологий»

ARP-атаки

Отчет по лабораторной работе

Руководитель:                                  

__________________        С.В.Рогов

Разработал:                                       

                                       Студент группы КБ-31                     

          _______________   Д.М.Чурмантаев


СОДЕРЖАНИЕ

Введение. - 3 -

Порядок выполнения работы.. - 4 -

Посылка ARP-запроса от чужого имени (IP-адреса) - 4 -

Удалённое изменение ARP-таблицы.. - 6 -

Заключение. - 9 -


Введение

Необходимость протокола ARP продиктована тем обстоятельством, что IP-адреса узлов сети назначаются независимо от их физических (MAC) адресов. Поэтому для доставки сообщений по сети нужен механизм, устанавливающий соответствие между физическим (MAC) адресом узла и его IP-адресом. Задача, возложенная на ARP-пакеты жизненно важна для функционирования любой IP-сети, в связи с чем, возникли и способы атаки с использованием ARP-пакетов, построенных специальным образом. В данной лабораторной работе и будут опробованы наиболее простые и при том, довольно опасные атаки подобного рода.


Порядок выполнения работы

Общее описание работы и порядок ее выполнения приведен в задании на ее выполнение. Здесь же будут приведены изображения, демонстрирующие основные этапы и приемы, а так же краткие комментарии и замечания к ним.

Приведем некоторые важные сведения о адресации компьютеров, на которых производилось выполнение лабораторной работы:

Назначение

MAC-адрес

IP-адрес

1

Атакующий

00-0C-29-7D-10-D1

192.168.10.3

2

Объект атаки

00-0C-29-30-52-D7

192.168.10.2

Посылка ARP-запроса от чужого имени (IP-адреса)

С помощью сниффера перехватываем пакет ARP-запроса (ARP-Request). В последствии, нам будет необходимо немного его отредактировать и отправить в сеть. На следующем рисунке (рис.1) можно видеть окно сниффера, отображающего требуемый нам захваченный пакет.

Теперь нам необходимо сформировать свой ARP-запрос таким образом, чтобы значение поля IP-адреса отправителя в нем соответствовало чужому компьютеру (от имени которого мы хотим сделать запрос). С помощью контекстного меню вызываем окно “Send Current Frame” и редактируем необходимые поля. Чтобы нам было проще увидеть результат нашего запроса, можно задать число раз, которое будет отправлен наш пакет и интервал отправки. В данном случае мной было решено отправить 10 запросов с интервалом в 1 секунду.


На рис.3. выделены поля, важные для осуществления заданной атаки (ARP-запрос от чужого имени).

 


В качестве MAC-адреса отправителя в данном случае можно использовать любой адрес, кроме адреса объекта атаки, так как в таком случае мы не сможем увидеть результат такого запроса. В поле IP-адреса отправителя необходимо подставить адрес объекта, от имени которого мы хотим послать этот запрос.

Результатом отправки такого запроса будет всплывающее окно на компьютере с IP-адресом, указанным в поле IP-адреса отправителя, оповещающее о том, что произошел конфликт адресов и какой-то другой компьютер пытался занять его IP-адрес.

Удалённое изменение ARP-таблицы

На первом этапе необходимо запустить сниффер и захватить пакет arp-ответа. На рисунке 5 можно видеть окно сниффера с захваченным ARP-ответом.



Как и во время выполнения предыдущей атаки, нам необходимо будет отредактировать этот пакет и отправить в сеть. С помощью контекстного меню вызываем окно “Send Current Frame” и редактируем необходимые поля. Как это сделать можно, увидеть на рисунке 6. Отметим, что для простоты, в поля MAC-адреса отправителя лучше ввести что-нибудь приметное, чтоб было проще идентифицировать этот адрес. А в качестве IP-адреса отправителя можно мы используем несуществующий IP-адрес.

Расшифровка наиболее важных полей ARP-ответа дана на рисунке 7.


Прежде, чем отправить пакет сделаем несколько замечаний. Как можно видеть на рисунке 6, была выбрана опция бесконечной посылки ARP-ответа. Это сделано в связи с тем, что ОС Windows XP SP2 не принимает ARP-ответы, если перед этим не был осуществлен ARP-запрос. Кроме того, чтобы увидеть результат такой атаки, нам необходимо проделать некоторые действия на атакуемом ПК.


Сначала проверим содержимое ARP-таблицы объекта атаки, для этого выполним в его консоли команду «arp -a». Результат может отличаться от приведенного на рисунке (выделено цифрой 1).

Теперь можно начать рассылку ложных ARP-ответов, нажатием кнопки «ОК» в окне, изображенном на рисунке 6.

После этого, для того чтобы атакуемый ПК принял один из пакетов, необходимо отправить с него ARP-запрос (при обычной работе в сети это делается автоматически и при том, довольно часто). С этой целью выполним команду «ping 192.168.10.5» на объекте атаки (здесь 192.168.10.5 – ложный IP, он должен совпадать с тем, что мы вводили в поле IP-адреса отправителя при редактировании ARP-ответа). Как можно сразу увидеть, несмотря на то, что компьютера с таким IP-адресом в сети нет, ARP-ответ для разрешения IP-адреса компьютером получен, и атакованный ПК пытается установить с ним связь (выделено цифрой 2 на рисунке 8).

Чтобы подтвердить это, введем еще одну команду в консоли: «arp -a». После этого мы увидим, что в ARP-таблице (кэше) появилась ложная запись с несуществующим IP и ранее введённом нами MAC-адресом(выделено цифрой 3 на рисунке 8).


Заключение

Проведенные нами атаки с использованием ложных ARP-пакетов носили безобидный характер, так как мы и не ставили своей целью осуществить реальную атаку с нанесением вреда объекты атаки. Однако, если в атаке с использованием ARP-запросов осуществлять бесконечную рассылку пакетов, то атакуемый ПК будет надоедать пользователю сообщением о конфликте (см.рис.4), а в некоторых случаях, возможно зависание и перезагрузка ПК. Атака с ARP-ответами еще более опасна: в лабораторной работе в качестве адреса получателя мы указывали конкретный адрес, а ведь можно осуществить и широковещательную рассылку. А если в качестве IP-адреса отправителя указать адрес реального ПК в сети, а MAC-адрес отправителя заменить на свой MAC-адрес, то можно просто перенаправить все пакеты, предназначенные, например, серверу, на подставной ПК.

Таким образом, ARP-атаки являются очень опасными, даже не смотря на то, что они могут быть осуществлены только внутри одного сегмента. В качестве методов защиты можно предложить постоянный мониторинг трафика и составление статических ARP-таблиц. Так же для защиты от широковещательных атак можно рекомендовать использовать коммутаторы с защитой от таких атак (например, с блокировкой порта при превышении порога числа широковещательных пакетов).

Похожие материалы

Информация о работе