loader
Foto

ARP Spoofing megvalósítása Windows operációs rendszeren

Korábbi cikkünkben áttekintettük azt a megoldást, amelynek segítségével a hálózati forgalom megfigyelheto volt. Most megnézzük azt a lehetoséget, amelynek segítségével úgy tudjuk a hálózati forgalmat megfigyelni, hogy egy másik számítógépen írják be az érzékeny adatokat. Erre több módszer is van, mi most az ARP Spoofing használatát nézzük át. A cikk címe félrevezeto lehet. Az ARP Spoofing nem függ az operációs rendszertol, de "Windows" név azért szerepel a cikkben, mert a "Cain and Abel" programmal hajtjuk majd végre az ARP Spoofing-ot.

A vállaltok tuzfalakat, DMZ-ket (demilitarizált zóna) alkalmaznak az interneten érkezo külso támadásokkal szemben. De nem minden támadás érkezik kívülrol.... Ha a támadó a helyi hálózaton van már, akkor több lehetosége is van arra, hogy a helyi forgalmat megfigyelje, illetve módosítsa. Egyik ilyen lehetoség az ARP Spoofing, amelynek a használatával most megismerkedünk.

Figyelem! Csak a saját hálózatunkon (pl.: virtuális gépek Virtualbox-on) próbáljuk ki!

Az ARP (Address Resolution Protocol) címfeloldási protokoll, amelyet az IP címek és a MAC (fizikai) címek összerendelésénél használnak. A hálózatokon lévo eszközök nem IP címeket használnak a kommunikáció során, hanem fizikai címeket. Ezek a fizikai címek a MAC címek, amelyek 48 bites számok. Azért, hogy a számítógépes hálózat minél hatékonyabb legyen, minden "résztvevonek" van egy saját ARP táblázata, amelyben megtalálható az IP cím és a MAC cím összerendelése. Ennek a használatával elkerülheto az, hogy egy kommunikáció megkezdésekor ARP kérések legyenek. Ezt a táblát a Windows operációs rendszer alatt az "arp -a" parancs segítségével tudjuk megnézni, illetve az "arp -d"-vel törölni.

Tegyük fel, hogy a PC 1. szeretne kapcsolatba lépni a PC 2-vel (1. ábra). Ehhez tudnia kell a MAC címét. A PC 1. üzenetszórással megszólít minden eszközt, hogy kinek az IP címe a A.B.C.D? A kérdés tartalmazza a kérdezo  MAC és IP címeit. Ezt a kérdést a hálózatban lévo minden eszköz megkapja, de csak az válaszol, akinek az IP címe az A.B.C.D. Ezután a kérdés-felelet után a kérdezo és a válaszoló is tudja a másik IP címét és a MAC címét is. Természetesen ezeket az adatokat el tudják tárolni a hálózatban lévo eszközök a saját táblájukban.

És mi történik akkor, ha nem a megszólítani kívánt eszköz válaszol, hanem a válasz egy másik eszközrol érkezik? Egy támadónak az a célja, hogy hamarabb válaszoljon az ARP kérésre, mint az eredetileg megszólítottt számítógép. Ha sikerül ez a támadónak, akkor a támadó MAC címe kerül eltárolásra az ARP táblában. Fontos azonban az, hogy a támadó észrevétlen maradjon, ezért az elfogott adatokat továbbítania kell az eredeti céleszközhöz.

kep
1. ábra   ARP Spoofing
 

Érdekességként megjegyezzük, hogy ha a támadó nem továbbítja ezeket az adatokat, hanem eldobja, akkor DoS támadás idézheto elo. Nézzük meg most az ARP Spoofing alkalmazását a saját (!) hálózatunknál, amelynél a következo IP címek találhatók:

  • gateway: 10.10.5.1
  • figyelt gép 1.: 10.10.5.50
  • figyelt gép 2.: 10.10.6.60
  • figyelt gép 3.: 10.10.5.91

A célunk tehát az, hogy a közös hálózatban lévo három megfigyelt gép forgalmát figyeljük meg úgy, hogy csak az érzékeny információkat rögzítsük.

Töltsük le a "Cain and Abel" programot innen. Az oxid.it oldalról lehetett korábban letölteni ezt a programot, de jelenleg ez az oldal nem elérheto.

Telepítsük a programot, majd indítsuk el az alkalmazást, és a következo felület fogad minket (2. ábra).

kep
2. ábra   Cain and Abel program
 

Kattintsunk a "Configure" menüpontra, és válasszuk ki azt a hálózati tartományt, amelyet figyelni szeretnénk (3. ábra).

kep
3. ábra   A hálózati tartomány kiválasztása
 

Ezután kattintsunk a "Start/Stop Sniffer" ikonra, és scan-neljük végig a hálózatot, hogy megtudjuk, milyen IP-vel (és MAC címmel) rendlekezo számítógépek vannak a hálózaton (4. ábra).

kep
4. ábra   Hálózatunk felderítése
 

Most ki tudjuk már választani, hogy melyik számítógép forgalma érdekel minket. Jelöljük ki az adott IP címeket, illetve a gateway címét (5. ábra).

kep
5. ábra   Az IP címek kiválasztása
 

Ezután indítsuk el az ARP Spoofing-ot (Start/Stop ARP), és már láthatjuk is, hogy a különbözo IP címek között hány csomagküldés történt (6. ábra).

kep
6. ábra   Különbözo statisztika a Cain and Abel felületén
 

Az Interneten különbözo tesztalkalmazások találhatók, mi kattintsunk (egy másik számítógépen/virtuális gépen!) a következo linkre:

http://php.testsparker.com/auth/login.php

Írjunk be itt egy tetszoleges loginnevet és jelszót. Ezután azon a gépen, ahol a Cain and Abel-t futtatjuk, megkapjuk az érzékeny adatokat (7. ábra).

kep
7. ábra   Login/jelszó párosok a Cain and Abel felületén
 

Látható tehát az, hogy a nem titkosított adatok könnyen elkaphatók, mások számára könnyen elérhetok.

 



Egyéb cikkek

További cikkeink ebben a témakörben

Régebbi cikkeink

Áttekintjük most azokat a lépéseket, amelyek segítségével egy http protokollt használó oldal belépési folyamata nyomon követhető. Az autentikációs adatok elküldése, illetve a hálózati forgalom figyelése ugyanarról a számítógépről történik. Ez termész. . . .

Megnézzük most a SQLite adatbázis használatának egyik lehetőségét. Kevesen tudják, hogy a különböző böngészők, chat programok, egyéb alkalmazások használják ezt az adatbázist, hiszen hordozható, nem igényel telepítést, illetve a különböző tevékenység. . . .

Áttekintjük most azokat a lépéseket, amelyek segítségével egy http protokollt használó oldal belépési folyamata nyomon követhető. Az autentikációs adatok elküldése, illetve a hálózati forgalom figyelése ugyanarról a számítógépről történik. Ez termész. . . .