Wie Hacker Adressauflösungsprotokoll verwenden, um Netzwerke zu durchdringen - Dummies

Hacker können ARP (Address Resolution Protocol) verwenden, das in Ihrem Netzwerk ausgeführt wird, damit ihre Systeme als Ihr System oder ein anderer autorisierter Host in Ihrem Netzwerk erscheinen. Denken Sie daran, während Sie Ihre Sicherheitsmaßnahmen entwickeln.

ARP-Spoofing

Eine übermäßige Anzahl von ARP-Anfragen kann ein Zeichen für einen ARP-Spoofing -Angriff in Ihrem Netzwerk sein.

Ein Client, der ein Programm ausführt, wie z. B. dsniff oder Cain & Abel, kann die ARP-Tabellen - die Tabellen, die IP-Adressen in Medienzugriffskontrollen ol - auf Netzwerkhosts speichern. Dies führt dazu, dass die Opfercomputer glauben, dass sie Datenverkehr an den Computer des Angreifers und nicht an den richtigen Zielcomputer senden müssen, wenn sie im Netzwerk kommunizieren.

Fehlerhafte ARP-Antworten können an einen Switch gesendet werden, der den Switch in den Broadcast-Modus zurücksetzt und ihn im Wesentlichen in einen Hub verwandelt. Wenn dies der Fall ist, kann ein Angreifer jedes Paket, das den Switch durchläuft, beschnuppern und alles und jedes aus dem Netzwerk erfassen.

Hier ist ein typischer ARP-Spoofing-Angriff mit einem Hackercomputer (Hacky) und zwei legitimen Netzwerkbenutzern (Joe und Bob):

1. Hacky vergiftet die ARP-Caches der Opfer Joe und Bob mit dsniff, ettercap oder einem Dienstprogramm, das er geschrieben hat.

2. Joe assoziiert Hackys MAC-Adresse mit der IP-Adresse von Bob.

3. Bob ordnet Hackys MAC-Adresse der IP-Adresse von Joe zu.

4. Joes Datenverkehr und Bobs Datenverkehr werden zuerst an die IP-Adresse von Hacky gesendet.

5. Hackys Netzwerkanalysator erfasst Joes und Bobs Datenverkehr.

Cain & Abel für ARP-Vergiftungen

Sie können ARP-Vergiftungen in Ihrem Switched Ethernet-Netzwerk durchführen, um Ihr IPS zu testen oder um zu sehen, wie einfach es ist, einen Switch zu einem Hub zu machen und alles zu erfassen. ein Netzwerkanalysator.

Führen Sie die folgenden Schritte aus, um Cain & Abel für ARP-Poisoning zu verwenden:

1. Laden Sie Cain & Abel und klicken Sie dann auf die Registerkarte Sniffer, um den Netzwerkanalysator-Modus aufzurufen.

2. Klicken Sie auf das Symbol Start / Stop APR.

   Der ARP-Poison-Routing-Prozess startet und aktiviert den integrierten Sniffer.

3. Wenn Sie dazu aufgefordert werden, wählen Sie den Netzwerkadapter im angezeigten Fenster aus und klicken Sie dann auf OK.

4. Klicken Sie auf das blaue + Symbol, um Hosts hinzuzufügen, auf denen die ARP-Vergiftung ausgeführt werden soll.

5. Stellen Sie im angezeigten Fenster MAC Address Scanner sicher, dass die Option Alle Hosts in meinem Subnetz ausgewählt ist, und klicken Sie dann auf OK.

6. Klicken Sie auf die Registerkarte APR, um die APR-Seite zu laden.

7. Klicken Sie auf den Leerraum unter der obersten Spaltenüberschrift Status.

   Dadurch wird das blaue + Symbol wieder aktiviert.

8. Klicken Sie auf das blaue + Symbol und das Fenster Neues ARP-Poison-Routing zeigt die in Schritt 3 entdeckten Hosts an.

9. Wählen Sie Ihre Standardroute aus.

   Die rechte Spalte füllt sich mit allen verbleibenden Hosts.

   

10. Klicken Sie bei gedrückter Strg-Taste auf alle Hosts in der rechten Spalte, die Sie vergiften möchten.

11. Klicken Sie auf OK und der ARP-Vergiftungsprozess beginnt.

    Dieser Vorgang kann je nach Netzwerkhardware und lokalem TCP / IP-Stack der Hosts zwischen wenigen Sekunden und einigen Minuten dauern.

    

12. Sie können die integrierte Kennwörterfunktion von Cain & Abel verwenden, um Kennwörter zu erfassen, die das Netzwerk von und zu verschiedenen Hosts durchlaufen, indem Sie einfach auf die Registerkarte Kennwörter klicken.

Die vorangegangenen Schritte zeigen, wie einfach es ist, eine Sicherheitslücke auszunutzen und zu beweisen, dass Ethernet-Switches nicht alles sind, was sie zu bieten haben.

MAC-Adressen-Spoofing

MAC-Adressen-Spoofing führt dazu, dass der -Schalter zu dem Gedanken führt, dass Ihr Computer etwas anderes ist. Sie ändern einfach die MAC-Adresse Ihres Computers und maskieren sich als ein anderer Benutzer.

Mit diesem Trick können Sie Zugangskontrollsysteme wie IPS / Firewall und sogar die Anmeldesteuerelemente Ihres Betriebssystems testen, die nach bestimmten MAC-Adressen suchen.

UNIX-basierte Systeme

Unter UNIX und Linux können Sie MAC-Adressen mit dem Dienstprogramm ifconfig vortäuschen. Folgen Sie diesen Schritten:

1. Wenn Sie als root angemeldet sind, geben Sie ifconfig ein, um einen Befehl einzugeben, der die Netzwerkschnittstelle deaktiviert.

   Fügen Sie die Netzwerkschnittstellennummer, die Sie deaktivieren möchten, in den Befehl ein:

   [root @ localhost root] # ifconfig eth0 down
   

2. Geben Sie einen Befehl für die MAC-Adresse ein, die Sie verwenden möchten.

   Fügen Sie die gefälschte MAC-Adresse und die Netzwerkschnittstellennummer (eth0) wie folgt in den Befehl ein:

[root @ localhost root] # ifconfig eth0 hw ether new_mac_address

Sie können einen funktionsreicheren Dienstprogramm namens GNU MAC Changer für Linux-Systeme.

Windows

Sie können regedit verwenden, um die Windows-Registrierung zu bearbeiten, oder Sie können ein ordentliches Windows-Dienstprogramm namens SMAC verwenden, das MAC-Spoofing zu einem einfachen Vorgang macht. Befolgen Sie diese Schritte, um SMAC zu verwenden:

1. Laden Sie das Programm.

2. Wählen Sie den Adapter aus, für den Sie die MAC-Adresse ändern möchten.

3. Geben Sie die neue MAC-Adresse in die Felder New Spoofed MAC Address ein und klicken Sie auf die Schaltfläche Update MAC.

4. Beenden Sie die Netzwerkkarte mit den folgenden Schritten und starten Sie sie neu:

   • Klicken Sie mit der rechten Maustaste unter Netzwerk- und DFÜ-Verbindungen auf die Netzwerkkarte, und wählen Sie dann Deaktivieren aus.

   • Klicken Sie erneut mit der rechten Maustaste und wählen Sie dann Aktivieren, damit die Änderung wirksam wird.

5. Klicken Sie in der SMAC-Benutzeroberfläche auf die Schaltfläche Aktualisieren.

Gehen Sie folgendermaßen vor, um Änderungen der Registrierung mit SMAC rückgängig zu machen:

1. Wählen Sie den Adapter aus, für den Sie die MAC-Adresse ändern möchten.

2. Klicken Sie auf die Schaltfläche MAC entfernen.

3. Beenden Sie die Netzwerkkarte mit den folgenden Schritten und starten Sie sie neu:

   • Klicken Sie mit der rechten Maustaste unter Netzwerk- und DFÜ-Verbindungen auf die Netzwerkkarte, und wählen Sie dann Deaktivieren aus.

   • Klicken Sie erneut mit der rechten Maustaste und wählen Sie dann Aktivieren, damit die Änderung wirksam wird.

4. Klicken Sie in der SMAC-Benutzeroberfläche auf die Schaltfläche Aktualisieren.

   Sie sollten Ihre ursprüngliche MAC-Adresse erneut sehen.

Gegenmaßnahmen gegen ARP-Poisoning und MAC-Adress-Spoofing-Angriffe

Einige Gegenmaßnahmen in Ihrem Netzwerk können die Auswirkungen eines Angriffs auf ARP- und MAC-Adressen minimieren:

• Prävention: Sie können das Spoofing von MAC-Adressen verhindern, wenn Switches können Portsicherheit aktivieren, um automatische Änderungen an den MAC-Adresstabellen zu verhindern.

• Erkennung: Sie können diese beiden Arten von Hacks über ein IPS oder ein eigenständiges MAC-Adressüberwachungsprogramm erkennen.

  Arpwatch ist ein Linux-basiertes Programm, das Sie per E-Mail benachrichtigt, wenn es Änderungen an MAC-Adressen erkennt, die mit bestimmten IP-Adressen im Netzwerk verknüpft sind.