Předpokládejme, že ‚A‘ a ‚B‘ jsou velmi dobří přátelé a ‚A‘ sdílí všechna svá tajemství s ‚B‘.
Teď, když přijde chlap ‚C‘ a předstírá, jako by byl ‚B‘. Dokážete si představit, co by se mohlo stát? Ano, ‚A‘ mohl prozradit všechna svá tajemství ‚C‘ a ‚C‘ by to mohl zneužít.
V laickém jazyce to je to, co máme na mysli pod pojmem otrava mezipaměti ARP.
Otrava ARP může způsobit mnoho vážných problémů se sítí a správci sítě by měli vědět, jak tento útok funguje.
Protokol ARP
Než přejdeme k popisu umístění mezipaměti ARP, nejprve si zopakujme, jak funguje protokol ARP. Protokol ARP se skládá z následujících 4 základních zpráv:
- Požadavek ARP:Počítač „A“ se v síti ptá:„Kdo má tuto IP?“
- Odpověď ARP:Všechny ostatní počítače ignorují požadavek kromě počítače, který má požadovanou IP adresu. Tento počítač, řekněme „B“, říká, že mám požadovanou IP adresu a zde je moje MAC adresa.
- Požadavek RARP:Toto je víceméně stejný jako požadavek ARP, rozdíl je v tom, že v této zprávě je MAC adresa vysílána v síti.
- Odpověď RARP:Stejný koncept. Počítač „B“ říká, že požadovaná MAC je moje a zde je moje IP adresa.
Všechna zařízení připojená k síti mají mezipaměť ARP. Tato mezipaměť obsahuje mapování všech MAC a IP adres pro síťová zařízení, se kterými tento hostitel již komunikoval.
Koncept otravy mezipaměti ARP
Protokol ARP byl navržen tak, aby byl jednoduchý a efektivní, ale hlavní chybou v protokolu je nedostatek autentizace. Do jeho implementace nebyla přidána žádná autentizace a v důsledku toho neexistuje způsob, jak ověřit mapování IP na MAC adresu v odpovědi ARP. Hostitel navíc ani nekontroluje, zda odeslal požadavek ARP, na který dostává odpověď ARP.
Laicky řečeno, pokud počítač „A“ odeslal požadavek ARP a dostane odpověď ARP, pak protokol ARP v žádném případě nemůže zkontrolovat, zda jsou informace nebo mapování IP na MAC v odpovědi ARP správné nebo ne. Také, i když hostitel neposlal požadavek ARP a obdrží odpověď ARP, pak také důvěřuje informacím v odpovědi a aktualizuje svou mezipaměť ARP. Toto je známé jako otrava mezipaměti ARP.
Takže vidíte, že je snadné využít tuto slabinu protokolu ARP. Zlý hacker může vytvořit platnou odpověď ARP, ve které je jakákoli IP adresa namapována na libovolnou MAC adresu podle výběru hackerů, a může tuto zprávu odeslat celé síti. Všechna zařízení v síti přijmou tuto zprávu a aktualizují svou tabulku ARP novými informacemi, a tak může hacker získat kontrolu nad komunikací tam a zpět z libovolného hostitele v síti.
Důsledky otravy mezipaměti ARP
Poté, co hacker vidí možnost otravy mezipaměti ARP, může útočník použít různé techniky útoku k poškození nebo k získání kontroly nad strojem oběti. Pojďme diskutovat o některých z nich zde:
1) Odepření služby
Hacker může poslat odpověď ARP mapující IP adresu v síti se špatnou nebo neexistující MAC adresou. Například falešná odpověď ARP mapující IP routeru sítě s neexistující MAC sníží konektivitu celé sítě s vnějším světem, protože nyní bude jakýkoli paket odeslaný na IP routeru odeslán do počítače s MAC adresou. který neexistuje.
2) Muž uprostřed
Jak název napovídá, hacker může přimět svůj počítač, aby seděl přímo mezi komunikací mezi vaším systémem a jakýmkoli jiným systémem v síti. Tímto způsobem může hacker odposlouchávat veškerý provoz do az obou počítačů.
Chcete-li toho dosáhnout, předpokládejme, že váš počítač je hostitelem „A“ a váš síťový směrovač je hostitelem „B“. „A“ má IP-A a MAC-A, zatímco „B“ má IP-B a MAC-B jako IP adresu a MAC adresu. Hacker nyní pošle ARP odpověď routeru mapujícímu vaši IP (IP-A) s MAC adresou svého stroje a další ARP odpověď vašemu stroji, která mapuje IP routerů s MAC adresou jeho stroje. Nyní se jakákoli zpráva odeslaná vaším počítačem do routeru nebo z routeru do vašeho stroje dostane do stroje hackera. Hacker nyní může na svém počítači zapnout funkci „přesměrování IP“, která umožňuje hackerovu stroji přeposílat veškerý provoz sem a tam na váš počítač a router. Tímto způsobem hackerův stroj sedí přímo uprostřed a může čichat nebo blokovat provoz.
3) MAC Flooding
Pro přepínače v síti je zahlcování MAC použito jako technika umístění mezipaměti ARP. Mnoho síťových přepínačů se při přetížení může začít chovat jako rozbočovač a začít vysílat veškerý síťový provoz všem hostitelům připojeným k síti. Hacker tedy může zahltit přepínač falešnými odpověďmi ARP a může přepínač přimět, aby se začal chovat jako rozbočovač. V této roli přepínač nepovoluje svou funkci „zabezpečení portů“, díky které vysílá veškerý síťový provoz a hacker toho může využít, aby paketově sniffoval síť.
Postupy zmírnění otravy mezipaměti ARP
Otrava mezipaměti ARP na dálku je trochu obtížná, protože vyžaduje buď fyzický přístup k síti, nebo ovládání jednoho ze strojů v síti. Protože to není vždy snadné, nejsou ARP útoky často slyšet. V každém případě je lepší přijmout preventivní opatření než užívat léky. Správci sítě by se měli postarat o to, aby k tomuto typu útoků nedocházelo. Zde je několik bodů pro zmírnění :
- U malých sítí lze udržovat statické položky ARP. Statický znamená neměnný, takže jak název napovídá, tyto položky nelze změnit, a proto jakékoli pokusy hackerů o změnu mapování selžou. To je dobré pro malé sítě, ale ne pro velké sítě, protože mapování pro každé nové zařízení přidané do sítě je třeba provést ručně.
- U velkých sítí lze prozkoumat funkce zabezpečení portů síťových přepínačů. Některé funkce po zapnutí vynutí, aby přepínač povolil pouze jednu MAC adresu pro každý fyzický port na přepínači. Tato funkce zajišťuje, že stroje nemohou změnit svou MAC adresu a nemohou na svůj počítač namapovat více než jednu MAC, čímž předchází útokům typu „man in middle“.
- Obecně lze nasadit některé monitorovací nástroje, jako je ARPwatch, aby dostávaly upozornění, když ve vaší síti dojde k nějaké škodlivé aktivitě ARP.
Na závěr jsme v tomto článku studovali základy protokolu ARP, jeho mezery, jak lze tyto mezery využít a jak je lze zmírnit.
Další článek v této sérii je:Predikce sekvenčního čísla TCP a útoky na resetování TCP.