Tools zur Verwendung bei ARP-Spoofing-Angriffen
Es gibt viele Tools wie Arpspoof, Cain & Abel, Arpoison und Ettercap, die verfügbar sind, um das ARP-Spoofing zu starten.
Hier ist der Screenshot, der zeigt, wie die genannten Tools die ARP-Anfrage umstritten senden können:
ARP-Spoofing-Angriff im Detail
Lassen Sie uns einige Screenshots sehen und das ARP-Spoofing Schritt für Schritt verstehen:
Schritt 1 :
Der Angreifer erwartet, die ARP-Antwort zu erhalten, damit er die MAC-Adresse des Opfers erfahren kann. Wenn wir nun im angegebenen Screenshot weiter gehen, können wir sehen, dass es 2 ARP-Antworten von den IP-Adressen 192.168.56.100 und 192.168.56.101 gibt. Danach aktualisiert das Opfer [192.168.56.100 und 192.168.56.101] seinen ARP-Cache, hat aber nicht zurückgefragt. Der Eintrag im ARP-Cache wird also nie korrigiert.
Die ARP-Anfragepaketnummern sind 137 und 138. Die ARP-Antwortpaketnummern sind 140 und 143.
Somit findet der Angreifer die Schwachstelle, indem er ARP-Spoofing durchführt. Dies wird als „Angriffseintritt“ bezeichnet.
Schritt 2:
Die Paketnummern sind 141, 142 und 144, 146.
Aus der vorherigen Aktivität hat der Angreifer jetzt gültige MAC-Adressen von 192.168.56.100 und 192.168.56.101. Der nächste Schritt für den Angreifer besteht darin, das ICMP-Paket an die IP-Adresse des Opfers zu senden. Und wir können aus dem angegebenen Screenshot ersehen, dass der Angreifer ein ICMP-Paket gesendet und eine ICMP-Antwort von 192.168.56.100 und 192.168.56.101 erhalten hat. Damit sind beide IP-Adressen [192.168.56.100 und 192.168.56.101] erreichbar.
Schritt 3:
Wir können sehen, dass es die letzte ARP-Anforderung für die IP-Adresse 192.168.56.101 gibt, um zu bestätigen, dass der Host aktiv ist und dieselbe MAC-Adresse von 08:00:27:dd:84:45 hat.
Die angegebene Paketnummer ist 3358.
Schritt 4:
Es gibt eine weitere ICMP-Anforderung und -Antwort mit der IP-Adresse 192.168.56.101. Die Paketnummern sind 3367 und 3368.
Von hier aus können wir annehmen, dass der Angreifer auf das Opfer abzielt, dessen IP-Adresse 192.168.56.101 lautet.
Jetzt erreichen alle Informationen, die von der IP-Adresse 192.168.56.100 oder 192.168.56.101 zu IP 192.168.56.1 kommen, den MAC-Adressen-Angreifer, dessen IP-Adresse 192.168.56.1 ist.
Schritt 5:
Sobald der Angreifer Zugriff hat, versucht er, eine tatsächliche Verbindung herzustellen. Aus dem angegebenen Screenshot können wir sehen, dass der Angreifer versucht, eine HTTP-Verbindung herzustellen. Es gibt eine TCP-Verbindung innerhalb des HTTP, was bedeutet, dass es einen 3-Wege-Handshake geben sollte. Dies sind die Paketaustausche für TCP:
SYN -> SYN+ACK -> ACK.
Aus dem angegebenen Screenshot können wir sehen, dass der Angreifer das SYN-Paket mehrmals auf verschiedenen Ports wiederholt. Die Rahmennummer 3460 bis 3469. Die Paketnummer 3469 SYN ist für Port 80, der HTTP ist.
Schritt 6:
Der erste erfolgreiche TCP-Handshake wird bei den folgenden Paketnummern aus dem angegebenen Screenshot angezeigt:
4488: SYN-Frame vom Angreifer
4489: SYN+ACK-Frame von 192.168.56.101
4490: ACK-Frame vom Angreifer
Schritt 7:
Sobald die TCP-Verbindung erfolgreich ist, kann der Angreifer die HTTP-Verbindung [Frame-Nummer 4491 bis 4495] aufbauen, gefolgt von der SSH-Verbindung [Frame-Nummer 4500 bis 4503].
Jetzt hat der Angriff genug Kontrolle, um Folgendes zu tun:
- Session-Hijacking-Angriff
- Man-in-the-Middle-Angriff [MITM]
- Denial-of-Service (DoS)-Angriff
So verhindern Sie den ARP-Spoofing-Angriff
Hier sind einige Schutzmaßnahmen, die ergriffen werden können, um den ARP-Spoofing-Angriff zu verhindern:
- Verwendung von „Static ARP“-Einträgen
- ARP-Spoofing-Erkennungs- und -Präventionssoftware
- Paketfilterung
- VPNs usw.
Außerdem könnten wir verhindern, dass dies erneut passiert, wenn wir HTTPS anstelle von HTTP verwenden und die SSL-Transportschichtsicherheit (Secure Socket Layer) verwenden. Dadurch wird die gesamte Kommunikation verschlüsselt.
Abschluss
Aus diesem Artikel haben wir eine grundlegende Vorstellung von ARP-Spoofing-Angriffen und wie sie auf die Ressourcen eines beliebigen Systems zugreifen können. Außerdem wissen wir jetzt, wie wir diese Art von Angriff stoppen können. Diese Informationen helfen dem Netzwerkadministrator oder jedem Systembenutzer, sich vor ARP-Spoofing-Angriffen zu schützen.