ARP Poisoning Attack
ARP Poisoning Attack
oleh Nachreiner Corey, WatchGuard Analis Keamanan Jaringan
Hacker berbohong. hacker baik Terampil berbohong. Dan hacker baik-bulat bisa berbohong baik kepada orang-orang dan mesin.
Berbohong kepada orang-orang, dikenal sebagai "rekayasa sosial," melibatkan taktik (rinci panjang lebar oleh dihukum hacker Kevin Mitnick) seperti menyamar sebagai karyawan perusahaan sehingga perusahaan nyata karyawan
akan mengoceh rahasia bebas. Membohongi mesin melibatkan banyak teknik yang berbeda, dan biasanya
digunakan satu - ARP Cache Poisoning - merupakan fokus dari artikel ini. ARP poisoning memungkinkan lokal
hacker jaringan menyebabkan kekacauan umum. Karena sebagian besar "tak tersembuhkan," setiap
administrator harus menyadari tentang bagaimana serangan ini bekerja.
ARP Penyegaran
Foundations: Apakah NIC, MAC, dan ARP?, Kami menjelaskan bahwa Address Resolution
Protocol (ARP) adalah bagaimana menghubungkan perangkat jaringan dengan alamat MAC Alamat IP sehingga
perangkat di jaringan lokal dapat menemukan satu sama lain. ARP pada dasarnya adalah sebuah bentuk jaringan absen.
ARP, sebuah protokol yang sangat sederhana, hanya terdiri dari empat jenis pesan dasar:
1. Permintaan ARP. Sebuah komputer meminta jaringan, "Siapa yang alamat IP ini?"
2. Sebuah Balas ARP. Komputer B Komputer A mengatakan, "Saya memiliki alamat IP MAC. Saya adalah
[Apa pun itu]. "
3. Sebuah Permintaan Reverse ARP (RARP). Sama konsep sebagai ARP Permintaan, tetapi Komputer A
bertanya, "Siapa yang memiliki alamat MAC ini?"
4. Sebuah Balas RARP. Komputer B Komputer A mengatakan, "Saya memiliki MAC alamat IP. Saya adalah
[Apa pun itu] "
Semua perangkat jaringan memiliki tabel ARP, memori jangka pendek dari semua alamat IP dan MAC alamat perangkat sudah cocok bersama-sama. Tabel ARP memastikan bahwa perangkat tidak harus mengulangi ARP Permintaan untuk perangkat yang telah dikomunikasikan dengan.
Berikut adalah contoh komunikasi ARP normal. Jessica, resepsionis, memberitahu Word untuk mencetak perusahaan terbaru dari daftar kontak. Ini adalah pekerjaan cetakan pertama hari ini. Komputer-nya (alamat IP192.168.0.16) ingin mengirim pekerjaan cetak ke kantor itu printer LaserJet HP (alamat IP 192.168.0.45). Jadi siaran komputer Jessica Permintaan ARP ke jaringan lokal seluruh bertanya, "Siapa yang memiliki alamat IP, 192.168.0.45?" seperti terlihat dalam Diagram 1.
oleh Nachreiner Corey, WatchGuard Analis Keamanan Jaringan
Hacker berbohong. hacker baik Terampil berbohong. Dan hacker baik-bulat bisa berbohong baik kepada orang-orang dan mesin.
Berbohong kepada orang-orang, dikenal sebagai "rekayasa sosial," melibatkan taktik (rinci panjang lebar oleh dihukum hacker Kevin Mitnick) seperti menyamar sebagai karyawan perusahaan sehingga perusahaan nyata karyawan
akan mengoceh rahasia bebas. Membohongi mesin melibatkan banyak teknik yang berbeda, dan biasanya
digunakan satu - ARP Cache Poisoning - merupakan fokus dari artikel ini. ARP poisoning memungkinkan lokal
hacker jaringan menyebabkan kekacauan umum. Karena sebagian besar "tak tersembuhkan," setiap
administrator harus menyadari tentang bagaimana serangan ini bekerja.
ARP Penyegaran
Foundations: Apakah NIC, MAC, dan ARP?, Kami menjelaskan bahwa Address Resolution
Protocol (ARP) adalah bagaimana menghubungkan perangkat jaringan dengan alamat MAC Alamat IP sehingga
perangkat di jaringan lokal dapat menemukan satu sama lain. ARP pada dasarnya adalah sebuah bentuk jaringan absen.
ARP, sebuah protokol yang sangat sederhana, hanya terdiri dari empat jenis pesan dasar:
1. Permintaan ARP. Sebuah komputer meminta jaringan, "Siapa yang alamat IP ini?"
2. Sebuah Balas ARP. Komputer B Komputer A mengatakan, "Saya memiliki alamat IP MAC. Saya adalah
[Apa pun itu]. "
3. Sebuah Permintaan Reverse ARP (RARP). Sama konsep sebagai ARP Permintaan, tetapi Komputer A
bertanya, "Siapa yang memiliki alamat MAC ini?"
4. Sebuah Balas RARP. Komputer B Komputer A mengatakan, "Saya memiliki MAC alamat IP. Saya adalah
[Apa pun itu] "
Semua perangkat jaringan memiliki tabel ARP, memori jangka pendek dari semua alamat IP dan MAC alamat perangkat sudah cocok bersama-sama. Tabel ARP memastikan bahwa perangkat tidak harus mengulangi ARP Permintaan untuk perangkat yang telah dikomunikasikan dengan.
Berikut adalah contoh komunikasi ARP normal. Jessica, resepsionis, memberitahu Word untuk mencetak perusahaan terbaru dari daftar kontak. Ini adalah pekerjaan cetakan pertama hari ini. Komputer-nya (alamat IP192.168.0.16) ingin mengirim pekerjaan cetak ke kantor itu printer LaserJet HP (alamat IP 192.168.0.45). Jadi siaran komputer Jessica Permintaan ARP ke jaringan lokal seluruh bertanya, "Siapa yang memiliki alamat IP, 192.168.0.45?" seperti terlihat dalam Diagram 1.
Semua perangkat pada jaringan mengabaikan Permintaan ARP, kecuali untuk printer LaserJet HP. Itu
printer mengenali IP sendiri pada permintaan tersebut dan mengirimkan Balas ARP: "Hei, saya Alamat IP
192.168.0.45. Berikut ini saya MAC address: 00:90:7 F: 12: DE: 7F, "seperti dalam Diagram 2.
Sekarang komputer Jessica mengetahui alamat MAC printer. Ia mengirimkan pekerjaan cetak dengan benar
perangkat, dan juga rekan printer dengan alamat MAC 00:90:7 F: 12: DE: 7F dengan printer
Alamat IP 192.168.0.45 dalam tabel ARP nya.
ARP Hei, Tahukah Anda mudah tertipu Bukan di Kamus?
Para pendiri jaringan mungkin menyederhanakan proses komunikasi untuk ARP sehingga
akan berfungsi efisien. Sayangnya, kesederhanaan ini juga mengarah pada ketidakamanan utama. Tahu
mengapa penjelasan singkat saya tentang ARP tidak menyebutkan apapun metode otentikasi? Karena dalam
ARP, tidak ada.
ARP sangat percaya, seperti, mudah tertipu. Ketika perangkat jaringan mengirimkan sebuah permintaan ARP, itu hanya
percaya bahwa ketika jawaban ARP masuk, itu benar-benar datang dari perangkat yang benar. ARP
tidak menyediakan cara untuk memverifikasi bahwa perangkat menanggapi benar-benar yang dikatakan itu. Bahkan, banyak
sistem operasi mengimplementasikan ARP sehingga penuh kepercayaan bahwa perangkat yang belum melakukan permintaan ARP
ARP masih menerima balasan dari perangkat lain.
OK, jadi berpikir seperti seorang hacker jahat. Anda hanya tahu bahwa protokol ARP tidak memiliki cara ARP memverifikasi balasan. Anda telah belajar banyak perangkat menerima balasan ARP bahkan sebelum meminta mereka. Hmmm. Nah, kenapa tidak saya kerajinan, sempurna berlaku jahat, membalas ARP berisi apapun IP dan alamat MAC acak saya pilih? Sejak komputer korban saya buta akan menerima ARP masuk ke tabel ARP, saya bisa memaksa komputer korban mudah tertipu saya ke dalam pemikiran setiap IP terkait ke alamat MAC yang saya inginkan. Lebih baik lagi, aku bisa siaran menjawab pura-pura saya ARP untuk saya korban seluruh jaringan dan tolol semua nya komputer. Muahahahahaa!
Kembali ke kenyataan. Sekarang Anda mungkin mengerti mengapa teknik ini biasa disebut ARP cache Keracunan (atau hanya ARP Poisoning): penyerang terletak ke perangkat pada jaringan Anda, merusak atau "Keracunan" pemahamannya tentang mana perangkat lain. Prosedur sederhana ini menakutkan memungkinkan hacker untuk menyebabkan berbagai kesengsaraan jaringan, dijelaskan berikutnya.
Semua ARP Anda Apakah Milik Kami!
Kemampuan untuk mengasosiasikan alamat IP dengan alamat MAC menyediakan banyak serangan hacker
vektor, termasuk Denial of Service, Man di Tengah, dan MAC Banjir.
Denial of Service
Seorang hacker dapat dengan mudah mengasosiasikan alamat IP yang signifikan secara operasional ke alamat MAC palsu. Untuk Misalnya, seorang hacker dapat mengirim balasan ARP router menghubungkan jaringan alamat IP Anda dengan Alamat MAC yang tidak ada. komputer Anda percaya bahwa mereka tahu di mana default gateway , tapi dalam kenyataannya mereka mengirim setiap paket tujuan yang tidak pada segmen lokal, ke Bit yang Bucket Besar di Sky. Dalam satu gerakan, hacker telah memotong jaringan Anda dari Internet.
Man in the Middle
Seorang hacker bisa mengeksploitasi ARP Cache Poisoning untuk mencegat lalu lintas jaringan antara dua perangkat dalam jaringan Anda. Sebagai contoh, katakanlah hacker ingin melihat semua lalu lintas antara Anda komputer, 192.168.0.12, dan router Internet Anda, 192.168.0.1. hacker dimulai dengan mengirimkan ARP jahat "balasan" (untuk yang tidak ada permintaan sebelumnya) ke router Anda, yang menghubungkan nya alamat MAC komputer dengan 192.168.0.12 (lihat Diagram 3).
Sekarang router Anda berpikir komputer adalah hacker komputer Anda.
Berikutnya, hacker mengirimkan balasan ARP berbahaya ke komputer Anda, yang menghubungkan nya MAC Address dengan 192.168.0.1 (lihat Diagram 4).
Sekarang komputer Anda berpikir komputer hacker adalah router Anda.
Akhirnya, hacker mengaktifkan fitur sistem operasi yang disebut IP forwarding. Fitur ini mesin memungkinkan hacker untuk meneruskan semua lalu lintas jaringan yang diterima dari komputer Anda ke router (ditampilkan dalam Diagram 5).
Sekarang, setiap kali Anda mencoba untuk pergi ke internet, komputer Anda mengirimkan lalu lintas jaringan ke mesin hacker, yang kemudian diajukan ke router nyata. Karena hacker masih forwarding lalu lintas ke router Internet, Anda tetap tidak menyadari bahwa ia menyadap semua jaringan Anda lalu lintas dan mungkin juga mengendus password Anda jelas teks atau pembajakan Internet dijamin Anda sesi.
MAC Banjir
MAC Banjir merupakan teknik ARP Cache Poisoning ditujukan pada switch jaringan. (Jika Anda memerlukan pengingat tentang perbedaan antara hub dan switch, lihat sidebar ini) Ketika tertentu. Switch kelebihan beban mereka sering jatuh ke pusat "" mode. Dalam "" mode hub, switch terlalu sibuk untuk menegakkan fitur keamanan pelabuhan dan hanya siaran semua lalu lintas jaringan setiap komputer dalam jaringan Anda. Dengan banjir saklar's tabel ARP dengan ARP palsu ton balasan, hacker dapat switch overload berbagai vendor dan kemudian paket mengendus jaringan Anda sementara tombol berada pada
"Hub" mode.
Takut? Bagus, Sekarang Tenang Down!
Ini adalah hal yang menakutkan. ARP Cache Poisoning adalah sepele untuk mengeksploitasi namun dapat menghasilkan yang sangat signifikan jaringan kompromi. Namun, sebelum Anda melompat ke Defcon-7, perhatikan utama mitigasi faktor: penyerang lokal hanya dapat memanfaatkan ARP's insecurities. Seorang hacker akan membutuhkan baik fisik akses ke jaringan Anda, atau kontrol dari sebuah mesin dalam jaringan lokal Anda, dalam rangka untuk memberikan ARP Cache Poisoning serangan. ketidakamanan ARP tidak dapat dieksploitasi dari jarak jauh.
Yang berkata, hacker telah dikenal untuk mendapatkan akses ke jaringan lokal. Memiliki jejaring
administrator harus menyadari teknik ARP Cache Poisoning.
Sejak Keracunan ARP Cache hasil dari kurangnya keamanan di sebuah protokol yang diperlukan untuk
TCP / IP networking berfungsi, Anda tidak dapat memperbaikinya. Tapi Anda bisa membantu mencegah serangan dengan menggunakan ARP
berikut teknik.
Untuk Jaringan Kecil
Jika Anda mengelola jaringan kecil, Anda dapat mencoba menggunakan alamat IP statis dan statis ARP tabel. Menggunakan perintah CLI, seperti "ipconfig / all" pada Windows atau "ifconfig" dalam 'NIX, Anda dapat belajar alamat IP dan alamat MAC setiap perangkat dalam jaringan Anda. Kemudian dengan menggunakan "arp-s" perintah, Anda dapat menambahkan entri ARP statis untuk semua perangkat yang dikenal Anda. "Statis" berarti tidak berubah; ini mencegah hacker dari spoofed menambahkan entri ARP untuk perangkat dalam jaringan Anda. Anda bahkan dapat membuat skrip login yang akan menambah entri-entri ini statis untuk PC Anda sebagai boot mereka.
Namun, statis entri ARP sulit untuk mempertahankan; mustahil jaringan besar. Itu karena setiap perangkat Anda tambahkan ke jaringan Anda harus secara manual ditambahkan ke script ARP Anda atau memasukkan ke dalam tabel ARP masing-masing mesin. Namun, jika Anda mengelola perangkat kurang dari dua lusin, teknik ini mungkin bekerja untuk Anda.
Untuk Jaringan Besar
Jika Anda mengelola jaringan besar, "penelitian jaringan switch anda, Port Security" fitur. Satu "Port Security" fitur memungkinkan Anda memaksa Anda untuk beralih hanya mengizinkan satu alamat MAC untuk masing-masing fisik port pada switch. Fitur ini mencegah hacker dari mengubah alamat MAC mereka mesin atau dari mencoba memetakan lebih dari satu alamat MAC untuk mesin mereka. Hal ini dapat sering membantu mencegah ARP berbasis serangan Man-in-the-Tengah. Untuk Semua Jaringan
pertahanan Anda yang terbaik adalah pemahaman ARP Poisoning dan monitoring untuk itu. Saya akan sangat menyarankan menyebarkan alat pemantauan ARP, seperti ARPwatch, agar memberitahukan Anda bila tidak biasa ARP komunikasi terjadi. Jenis kewaspadaan masih senjata terbesar terhadap semua jenis serangan - karena, seperti Robert Louis Stevenson menulis, "terletak paling kejam sering diceritakan dalam keheningan."
Address Resolution Protocol Spoofing and Man-in-the-Middle Attacks
perangkat, dan juga rekan printer dengan alamat MAC 00:90:7 F: 12: DE: 7F dengan printer
Alamat IP 192.168.0.45 dalam tabel ARP nya.
ARP Hei, Tahukah Anda mudah tertipu Bukan di Kamus?
Para pendiri jaringan mungkin menyederhanakan proses komunikasi untuk ARP sehingga
akan berfungsi efisien. Sayangnya, kesederhanaan ini juga mengarah pada ketidakamanan utama. Tahu
mengapa penjelasan singkat saya tentang ARP tidak menyebutkan apapun metode otentikasi? Karena dalam
ARP, tidak ada.
ARP sangat percaya, seperti, mudah tertipu. Ketika perangkat jaringan mengirimkan sebuah permintaan ARP, itu hanya
percaya bahwa ketika jawaban ARP masuk, itu benar-benar datang dari perangkat yang benar. ARP
tidak menyediakan cara untuk memverifikasi bahwa perangkat menanggapi benar-benar yang dikatakan itu. Bahkan, banyak
sistem operasi mengimplementasikan ARP sehingga penuh kepercayaan bahwa perangkat yang belum melakukan permintaan ARP
ARP masih menerima balasan dari perangkat lain.
OK, jadi berpikir seperti seorang hacker jahat. Anda hanya tahu bahwa protokol ARP tidak memiliki cara ARP memverifikasi balasan. Anda telah belajar banyak perangkat menerima balasan ARP bahkan sebelum meminta mereka. Hmmm. Nah, kenapa tidak saya kerajinan, sempurna berlaku jahat, membalas ARP berisi apapun IP dan alamat MAC acak saya pilih? Sejak komputer korban saya buta akan menerima ARP masuk ke tabel ARP, saya bisa memaksa komputer korban mudah tertipu saya ke dalam pemikiran setiap IP terkait ke alamat MAC yang saya inginkan. Lebih baik lagi, aku bisa siaran menjawab pura-pura saya ARP untuk saya korban seluruh jaringan dan tolol semua nya komputer. Muahahahahaa!
Kembali ke kenyataan. Sekarang Anda mungkin mengerti mengapa teknik ini biasa disebut ARP cache Keracunan (atau hanya ARP Poisoning): penyerang terletak ke perangkat pada jaringan Anda, merusak atau "Keracunan" pemahamannya tentang mana perangkat lain. Prosedur sederhana ini menakutkan memungkinkan hacker untuk menyebabkan berbagai kesengsaraan jaringan, dijelaskan berikutnya.
Semua ARP Anda Apakah Milik Kami!
Kemampuan untuk mengasosiasikan alamat IP dengan alamat MAC menyediakan banyak serangan hacker
vektor, termasuk Denial of Service, Man di Tengah, dan MAC Banjir.
Denial of Service
Seorang hacker dapat dengan mudah mengasosiasikan alamat IP yang signifikan secara operasional ke alamat MAC palsu. Untuk Misalnya, seorang hacker dapat mengirim balasan ARP router menghubungkan jaringan alamat IP Anda dengan Alamat MAC yang tidak ada. komputer Anda percaya bahwa mereka tahu di mana default gateway , tapi dalam kenyataannya mereka mengirim setiap paket tujuan yang tidak pada segmen lokal, ke Bit yang Bucket Besar di Sky. Dalam satu gerakan, hacker telah memotong jaringan Anda dari Internet.
Man in the Middle
Seorang hacker bisa mengeksploitasi ARP Cache Poisoning untuk mencegat lalu lintas jaringan antara dua perangkat dalam jaringan Anda. Sebagai contoh, katakanlah hacker ingin melihat semua lalu lintas antara Anda komputer, 192.168.0.12, dan router Internet Anda, 192.168.0.1. hacker dimulai dengan mengirimkan ARP jahat "balasan" (untuk yang tidak ada permintaan sebelumnya) ke router Anda, yang menghubungkan nya alamat MAC komputer dengan 192.168.0.12 (lihat Diagram 3).
Sekarang router Anda berpikir komputer adalah hacker komputer Anda.
Berikutnya, hacker mengirimkan balasan ARP berbahaya ke komputer Anda, yang menghubungkan nya MAC Address dengan 192.168.0.1 (lihat Diagram 4).
Sekarang komputer Anda berpikir komputer hacker adalah router Anda.
Akhirnya, hacker mengaktifkan fitur sistem operasi yang disebut IP forwarding. Fitur ini mesin memungkinkan hacker untuk meneruskan semua lalu lintas jaringan yang diterima dari komputer Anda ke router (ditampilkan dalam Diagram 5).
Sekarang, setiap kali Anda mencoba untuk pergi ke internet, komputer Anda mengirimkan lalu lintas jaringan ke mesin hacker, yang kemudian diajukan ke router nyata. Karena hacker masih forwarding lalu lintas ke router Internet, Anda tetap tidak menyadari bahwa ia menyadap semua jaringan Anda lalu lintas dan mungkin juga mengendus password Anda jelas teks atau pembajakan Internet dijamin Anda sesi.
MAC Banjir
MAC Banjir merupakan teknik ARP Cache Poisoning ditujukan pada switch jaringan. (Jika Anda memerlukan pengingat tentang perbedaan antara hub dan switch, lihat sidebar ini) Ketika tertentu. Switch kelebihan beban mereka sering jatuh ke pusat "" mode. Dalam "" mode hub, switch terlalu sibuk untuk menegakkan fitur keamanan pelabuhan dan hanya siaran semua lalu lintas jaringan setiap komputer dalam jaringan Anda. Dengan banjir saklar's tabel ARP dengan ARP palsu ton balasan, hacker dapat switch overload berbagai vendor dan kemudian paket mengendus jaringan Anda sementara tombol berada pada
"Hub" mode.
Takut? Bagus, Sekarang Tenang Down!
Ini adalah hal yang menakutkan. ARP Cache Poisoning adalah sepele untuk mengeksploitasi namun dapat menghasilkan yang sangat signifikan jaringan kompromi. Namun, sebelum Anda melompat ke Defcon-7, perhatikan utama mitigasi faktor: penyerang lokal hanya dapat memanfaatkan ARP's insecurities. Seorang hacker akan membutuhkan baik fisik akses ke jaringan Anda, atau kontrol dari sebuah mesin dalam jaringan lokal Anda, dalam rangka untuk memberikan ARP Cache Poisoning serangan. ketidakamanan ARP tidak dapat dieksploitasi dari jarak jauh.
Yang berkata, hacker telah dikenal untuk mendapatkan akses ke jaringan lokal. Memiliki jejaring
administrator harus menyadari teknik ARP Cache Poisoning.
Sejak Keracunan ARP Cache hasil dari kurangnya keamanan di sebuah protokol yang diperlukan untuk
TCP / IP networking berfungsi, Anda tidak dapat memperbaikinya. Tapi Anda bisa membantu mencegah serangan dengan menggunakan ARP
berikut teknik.
Untuk Jaringan Kecil
Jika Anda mengelola jaringan kecil, Anda dapat mencoba menggunakan alamat IP statis dan statis ARP tabel. Menggunakan perintah CLI, seperti "ipconfig / all" pada Windows atau "ifconfig" dalam 'NIX, Anda dapat belajar alamat IP dan alamat MAC setiap perangkat dalam jaringan Anda. Kemudian dengan menggunakan "arp-s" perintah, Anda dapat menambahkan entri ARP statis untuk semua perangkat yang dikenal Anda. "Statis" berarti tidak berubah; ini mencegah hacker dari spoofed menambahkan entri ARP untuk perangkat dalam jaringan Anda. Anda bahkan dapat membuat skrip login yang akan menambah entri-entri ini statis untuk PC Anda sebagai boot mereka.
Namun, statis entri ARP sulit untuk mempertahankan; mustahil jaringan besar. Itu karena setiap perangkat Anda tambahkan ke jaringan Anda harus secara manual ditambahkan ke script ARP Anda atau memasukkan ke dalam tabel ARP masing-masing mesin. Namun, jika Anda mengelola perangkat kurang dari dua lusin, teknik ini mungkin bekerja untuk Anda.
Untuk Jaringan Besar
Jika Anda mengelola jaringan besar, "penelitian jaringan switch anda, Port Security" fitur. Satu "Port Security" fitur memungkinkan Anda memaksa Anda untuk beralih hanya mengizinkan satu alamat MAC untuk masing-masing fisik port pada switch. Fitur ini mencegah hacker dari mengubah alamat MAC mereka mesin atau dari mencoba memetakan lebih dari satu alamat MAC untuk mesin mereka. Hal ini dapat sering membantu mencegah ARP berbasis serangan Man-in-the-Tengah. Untuk Semua Jaringan
pertahanan Anda yang terbaik adalah pemahaman ARP Poisoning dan monitoring untuk itu. Saya akan sangat menyarankan menyebarkan alat pemantauan ARP, seperti ARPwatch, agar memberitahukan Anda bila tidak biasa ARP komunikasi terjadi. Jenis kewaspadaan masih senjata terbesar terhadap semua jenis serangan - karena, seperti Robert Louis Stevenson menulis, "terletak paling kejam sering diceritakan dalam keheningan."
Address Resolution Protocol Spoofing and Man-in-the-Middle Attacks
