ניתוח התקפות זיוף של ARP ב-Wireshark

כלים לשימוש בהתקפת זיוף ARP

ישנם כלים רבים כמו Arpspoof, Cain & Abel, Arpoison ו-Ettercap הזמינים כדי להתחיל את זיוף ARP.

להלן צילום המסך כדי להראות כיצד הכלים שהוזכרו יכולים לשלוח את בקשת ה-ARP במחלוקת:

מתקפת זיוף ARP בפרטים

תן לנו לראות כמה צילומי מסך ולהבין את הזיוף של ARP שלב אחר שלב:

שלב 1 :

הציפייה של התוקף היא לקבל את תשובת ה-ARP כדי שיוכל ללמוד את כתובת ה-MAC של הקורבן. כעת, אם נלך רחוק יותר בצילום המסך הנתון, נוכל לראות שיש 2 תשובות ARP מכתובות ה-IP 192.168.56.100 ו-192.168.56.101. לאחר מכן, הקורבן [192.168.56.100 ו-192.168.56.101] מעדכן את מטמון ה-ARP שלו אך לא החזיר שאילתה. לכן, הערך במטמון ה-ARP לעולם אינו מתוקן.

מספרי מנות בקשת ה-ARP הם 137 ו-138. מספרי מנות התגובה של ARP הם 140 ו-143.

לפיכך, התוקף מוצא את הפגיעות על ידי ביצוע זיוף ARP. זה נקרא 'כניסת ההתקפה'.

שלב 2:
מספרי החבילות הם 141, 142 ו-144, 146.

מהפעילות הקודמת, לתוקף יש כעת כתובות MAC חוקיות של 192.168.56.100 ו-192.168.56.101. השלב הבא של התוקף הוא לשלוח את חבילת ה-ICMP לכתובת ה-IP של הקורבן. ואנחנו יכולים לראות מצילום המסך הנתון שהתוקף שלח חבילת ICMP וקיבל תשובת ICMP מ-192.168.56.100 ו-192.168.56.101. המשמעות היא שניתן להגיע לשתי כתובות ה-IP [192.168.56.100 ו-192.168.56.101].

שלב 3:

אנו יכולים לראות שיש את בקשת ה-ARP האחרונה עבור כתובת ה-IP 192.168.56.101 כדי לאשר שהמארח פעיל ויש לו אותה כתובת MAC של 08:00:27:dd:84:45.

מספר החבילה הנתון הוא 3358.

שלב 4:

יש עוד בקשה ותגובה של ICMP עם כתובת ה-IP 192.168.56.101. מספרי החבילות הם 3367 ו-3368.

אנחנו יכולים לחשוב מכאן שהתוקף מכוון לקורבן שכתובת ה-IP שלו היא 192.168.56.101.

כעת, כל מידע שמגיע מכתובת ה-IP של 192.168.56.100 או 192.168.56.101 ל-IP 192.168.56.1 מגיע לתוקף כתובת ה-MAC שכתובת ה-IP שלו היא 192.168.56.1.

שלב 5:

ברגע שלתוקף יש גישה, הוא מנסה ליצור חיבור ממשי. מצילום המסך הנתון, אנו יכולים לראות כי יצירת חיבור HTTP מנוסה מהתוקף. יש חיבור TCP בתוך ה-HTTP מה שאומר שצריך להיות לחיצת יד תלת כיוונית. אלו הן חילופי המנות עבור TCP:

SYN -> SYN+ACK -> ACK.

מצילום המסך הנתון, אנו יכולים לראות שהתוקף מנסה שוב את חבילת ה-SYN מספר פעמים ביציאות שונות. מספר המסגרת 3460 עד 3469. חבילה מספר 3469 SYN מיועדת ליציאה 80 שהיא HTTP.

שלב 6:

לחיצת היד המוצלחת הראשונה של TCP מוצגת במספרי החבילות הבאים מצילום המסך הנתון:

4488: מסגרת SYN מהתוקף
4489: מסגרת SYN+ACK מ-192.168.56.101
4490: מסגרת ACK מהתוקף

שלב 7:

ברגע שחיבור ה-TCP מצליח, התוקף מסוגל ליצור את חיבור ה-HTTP [מספר מסגרת 4491 עד 4495] ואחריו חיבור SSH [מספר מסגרת 4500 עד 4503].

כעת, למתקפה יש מספיק שליטה כדי שהיא תוכל לבצע את הפעולות הבאות:

• מתקפת חטיפת מושב
• איש בהתקפה האמצעית [MITM]
• מתקפת מניעת שירות (DoS).

כיצד למנוע את התקפת זיוף ARP

להלן מספר הגנות שניתן לנקוט כדי למנוע את מתקפת הזיוף של ARP:

1. שימוש בערכים 'סטטי ARP'.
2. תוכנת זיהוי ומניעת זיוף ARP
3. סינון מנות
4. VPNs וכו'.

כמו כן, נוכל למנוע זאת מלהתרחש שוב אם נשתמש ב-HTTPS במקום ב-HTTP ונשתמש באבטחת שכבת התחבורה SSL (Secure Socket Layer). זאת כדי שכל התקשורת מוצפנת.

סיכום

מהמאמר הזה, קיבלנו רעיון בסיסי על התקפת זיוף ARP וכיצד היא יכולה לגשת למשאב של כל מערכת. כמו כן, אנו יודעים כעת כיצד לעצור את סוג ההתקפה הזה. מידע זה עוזר למנהל הרשת או לכל משתמש מערכת להגן מפני התקפת זיוף ARP.