ARP? Что это?
ARP протокол предназначен для автоматического определения MAC-адреса по IP-адресу в режиме запрос ответ.
Что за ARP Spoofing? Зачем нужен?
ARP spoofing (также называют ARP отравление) относится к виду MITM атак (атака человек по середине), злоумышленник встает между сетевыми узлами отправляя поддельные arp ответы на один сетевой узел или несколько узлов (чаще всего страдают маршрутизаторы).
Для более эффективной работы устройства обычно кэшируют эти ответы и создают список текущих назначений MAC-IP. Суть arp отравления заключается в отравлении arp кэша, т.е создании ложной записи соответствия IP жертвы mac адресу (т.е. в конечном итоге в записях будет: mac злоумышленника принадлежит IP жертвы) что позволяет злоумышленнику получить доступ к траффику. В последствии можно даже произвести DOS атаку (атака отказа в обслуживании) если будет две или более атаки отравлением arp на одни и те же цели. Почему? Предположим два хакера решили менять в кэше arp mac адреса на свои, тогда цели попросту не поймут куда им нужно отправить тот или иной пакет. Итогом станет "отказ в обслуживании" и все попросту встанет.
Суть этой этой атаки в том что можно просто блокировать или модифицировать траффик ведь он весь будет идти через злоумышленника, а прослушивая траффик используя сниффер можно узнать креды (данные учетки для входа, обычно логин + пароль) или другую конфиденциальную информацию пользователя.
Атаку можно разделить на 2 этапа:
Выбор цели(жертва);
Выбор типа arp отравления;
Выбор инструмента который мы будем использовать для подмены mac (arpspoof, ettercap, driftnet и т.д.);
Реализация атаки.
Пассивный и Активный спуфинг
При пассивном arp отравлении, нет активной отправки arp ответов, злоумышленник отслеживает сеть, собирает информацию (к примеру информацию о сопоставлениях IP-MAC-адресов устройств в сети и о кэше ARP).
При активном спуфинге злоумышленник отправляет поддельные arp ответы, прослушивает, изменяет или блокирует траффик жертвы.
Практический пример arp отравления
Все машины находятся в одной сети.
В этой атаке задействовано минимум 3 сетевых узла: два узла обменивающиеся данными и один принадлежит атакующему. (это минимум так как это MITM атака и мы вклиниваемся между устройствами обменивающимися данными и получаем доступ к траффику).
Сеть: 192.168.1.0/24
Жертва: win 10 x64 - 192.168.1.1/24 (для проверки соединения с маршрутизатором доставкой ICMP пакетов я добавил правила в брандмауэр / для упрощения легче будет просто отключить фаервол)
Атакующий: Kali linux - 192.168.1.30/24
Настроенная виртуальная машина Маршрутизатор: 2 сетевых интерфейса 192.168.85.2/24 и интерфейс с выходом в интернет NAT
PfSense - это дистрибутив FreeBSD из которого можно сделать межсетевой экран или маршрутизатор - 192.168.1.1/24 и интерфейс с выходом в интернет NAT (https://www.pfsense.org/download/)
Подмена mac адресов будет осуществляться с помощью инструмента arpspoof.
Необходимо включить IP форвардинг на хосте атакующего, чтобы трафик уходил с хоста атакующего. Если не включить жертва потеряет соединение.echo 1 > /proc/sys/net/ipv4/ip_forward
Теперь заставим жертву считать нас маршрутизатором, чтобы весь отправляемый жертвой траффик проходил через нас, флагом "-i" задаем сетевой интерфейс с IP которым находимся в одной сети с целями; флагом -t указываем цели.arpspoof -i eth0 -t 192.168.1.1 192.168.1.24
Теперь нужно чтобы маршрутизатор считал нас жертвой и отправлял данные через нас.
arpspoof -i eth0 -t 192.168.1.24 192.168.1.1
Дальше запускаем любой сниффер wireshark или tcpdump и начинаем прослушивать интерфейс в моем случае eth0.
Теперь узнаем креды от панели управления маршрутизатора, я просто подключаюсь через IP 192.168.1.1 к панели и ввожу логин с паролем, после выполненного входа давайте посмотреть что нашел наш сниффер, будем смотреть http запросы POST метода. Поискав их можно найти http запрос с логином и паролем.
В итоге атакующий сможет подключиться к панели управления маршрутизатором, а если пользователь будет вводить свои учетные данные от любого другого сервиса, то злоумышленник сможет получить к нему доступ.
ARP Spoffing работает как в проводных так и в беспроводных сетях. К примеру для беспроводной сети, указывался другой интерфейс.
Также для обнаружения целевых машин используется утилита netdiscover или nmap.
Внимание: при отправке поддельных arp ответов не закрывайте терминал.
Комментарии (6)
makapohmgn
12.01.2024 13:51+2Чёт у вас с адресами напутано, то 192.168.1.0/24, то 192.168.85.0/24, это разные сети. И кто такой 192.168.1.24? Причём тут 192.168.1.1 тоже не сильно понятно, у вас маршрутизатор на 192.168.1.2
sekuzmin
12.01.2024 13:51Все машины находятся в одной сети.
Жертва: win 10 x64 - 192.168.85.1/24
Атакующий: Kali linux - 192.168.1.30/24
Как бы две подсети? или вот
а если пользователь будет вводить свои учетные данные от любого другого сервиса, то злоумышленник запросто сможет получить к нему.
Запросто, но как только расшифрует трафик ssh или tls. И вишенка
ARP Spuffing
Network Engineer
sekuzmin
Т.е. при «пассивном arp отравлении» злоумышленник сидит на берегу и ждет когда мимо сам проплывет труп отравленного ARP ?