ARP? Что это?

ARP протокол предназначен для автоматического определения MAC-адреса по IP-адресу в режиме запрос ответ.

Что за ARP Spoofing? Зачем нужен?

ARP spoofing (также называют ARP отравление) относится к виду MITM атак (атака человек по середине), злоумышленник встает между сетевыми узлами отправляя поддельные arp ответы на один сетевой узел или несколько узлов (чаще всего страдают маршрутизаторы).

Для более эффективной работы устройства обычно кэшируют эти ответы и создают список текущих назначений MAC-IP. Суть arp отравления заключается в отравлении arp кэша, т.е создании ложной записи соответствия IP жертвы mac адресу (т.е. в конечном итоге в записях будет: mac злоумышленника принадлежит IP жертвы) что позволяет злоумышленнику получить доступ к траффику. В последствии можно даже произвести DOS атаку (атака отказа в обслуживании) если будет две или более атаки отравлением arp на одни и те же цели. Почему? Предположим два хакера решили менять в кэше arp mac адреса на свои, тогда цели попросту не поймут куда им нужно отправить тот или иной пакет. Итогом станет "отказ в обслуживании" и все попросту встанет.

Суть этой этой атаки в том что можно просто блокировать или модифицировать траффик ведь он весь будет идти через злоумышленника, а прослушивая траффик используя сниффер можно узнать креды (данные учетки для входа, обычно логин + пароль) или другую конфиденциальную информацию пользователя.
Атаку можно разделить на 2 этапа:

  1. Выбор цели(жертва);

  2. Выбор типа arp отравления;

  3. Выбор инструмента который мы будем использовать для подмены mac (arpspoof, ettercap, driftnet и т.д.);

  4. Реализация атаки.

Пассивный и Активный спуфинг

  • При пассивном arp отравлении, нет активной отправки arp ответов, злоумышленник отслеживает сеть, собирает информацию (к примеру информацию о сопоставлениях IP-MAC-адресов устройств в сети и о кэше ARP).

  • При активном спуфинге злоумышленник отправляет поддельные arp ответы, прослушивает, изменяет или блокирует траффик жертвы.

Практический пример arp отравления

Все машины находятся в одной сети.

В этой атаке задействовано минимум 3 сетевых узла: два узла обменивающиеся данными и один принадлежит атакующему. (это минимум так как это MITM атака и мы вклиниваемся между устройствами обменивающимися данными и получаем доступ к траффику).
Сеть: 192.168.1.0/24

Жертва: win 10 x64 - 192.168.1.1/24 (для проверки соединения с маршрутизатором доставкой ICMP пакетов я добавил правила в брандмауэр / для упрощения легче будет просто отключить фаервол)

Атакующий: Kali linux - 192.168.1.30/24

Настроенная виртуальная машина Маршрутизатор: 2 сетевых интерфейса 192.168.85.2/24 и интерфейс с выходом в интернет NAT

PfSense - это дистрибутив FreeBSD из которого можно сделать межсетевой экран или маршрутизатор - 192.168.1.1/24 и интерфейс с выходом в интернет NAT (https://www.pfsense.org/download/)

Подмена mac адресов будет осуществляться с помощью инструмента arpspoof.
Необходимо включить IP форвардинг на хосте атакующего, чтобы трафик уходил с хоста атакующего. Если не включить жертва потеряет соединение.
echo 1 > /proc/sys/net/ipv4/ip_forward

Теперь заставим жертву считать нас маршрутизатором, чтобы весь отправляемый жертвой траффик проходил через нас, флагом "-i" задаем сетевой интерфейс с IP которым находимся в одной сети с целями; флагом -t указываем цели.
arpspoof -i eth0 -t 192.168.1.1 192.168.1.24

Отправка поддельных arp ответов жертве
Отправка поддельных arp ответов жертве

Теперь нужно чтобы маршрутизатор считал нас жертвой и отправлял данные через нас.

arpspoof -i eth0 -t 192.168.1.24 192.168.1.1

Отправка поддельных arp ответов маршрутизатору
Отправка поддельных arp ответов маршрутизатору


Дальше запускаем любой сниффер wireshark или tcpdump и начинаем прослушивать интерфейс в моем случае eth0.

Перехват траффика через wireshark
Перехват траффика через wireshark

Теперь узнаем креды от панели управления маршрутизатора, я просто подключаюсь через IP 192.168.1.1 к панели и ввожу логин с паролем, после выполненного входа давайте посмотреть что нашел наш сниффер, будем смотреть http запросы POST метода. Поискав их можно найти http запрос с логином и паролем.

В итоге атакующий сможет подключиться к панели управления маршрутизатором, а если пользователь будет вводить свои учетные данные от любого другого сервиса, то злоумышленник сможет получить к нему доступ.

ARP Spoffing работает как в проводных так и в беспроводных сетях. К примеру для беспроводной сети, указывался другой интерфейс.

Также для обнаружения целевых машин используется утилита netdiscover или nmap.

Внимание: при отправке поддельных arp ответов не закрывайте терминал.

Комментарии (6)


  1. sekuzmin
    12.01.2024 13:51
    +1

    • При пассивном arp отравлении, нет активной отправки arp ответов, злоумышленник отслеживает сеть, собирает информацию (к примеру информацию о сопоставлениях IP-MAC-адресов устройств в сети и о кэше ARP).

    Т.е. при «пассивном arp отравлении» злоумышленник сидит на берегу и ждет когда мимо сам проплывет труп отравленного ARP ?


  1. makapohmgn
    12.01.2024 13:51
    +2

    Чёт у вас с адресами напутано, то 192.168.1.0/24, то 192.168.85.0/24, это разные сети. И кто такой 192.168.1.24? Причём тут 192.168.1.1 тоже не сильно понятно, у вас маршрутизатор на 192.168.1.2


    1. sekuzmin
      12.01.2024 13:51

      Все машины находятся в одной сети.

      Жертва: win 10 x64 - 192.168.85.1/24

      Атакующий: Kali linux - 192.168.1.30/24

      Как бы две подсети? или вот

      а если пользователь будет вводить свои учетные данные от любого другого сервиса, то злоумышленник запросто сможет получить к нему.

      Запросто, но как только расшифрует трафик ssh или tls. И вишенка

      ARP Spuffing

      Network Engineer
      Network Engineer


    1. whitecot13 Автор
      12.01.2024 13:51

      При редактировании напутал адреса, подправил


  1. BjLomax
    12.01.2024 13:51
    +1

    современные коммутаторы умеют с этим бороться.


    1. sirmax123
      12.01.2024 13:51
      +1

      Статья полезна. Лет 15 назад была бы. Может быть.