top of page

Útok ARP Spoofing

 

 

Podstata útoku:

Podstatou útoku ARP spoofing je to aby sa útočník stal prostredným členom v sieťovej komunikácií medzi dvoma systémami. Potom čo sa útočník stane prostredným členom v sieťovej komunikácií, tak je schopný odpočúvať prípadne meniť dáta preposielané medzi týmito dvoma zariadeniami. Útočník môže získať citlivé údaje ako napríklad meno, heslo..., ktoré môže zneužiť.

Popis útoku:

Útok ARP Spoofing je taktiež označovaný aj ako ARP cache poisoning. Využíva slabiny protokolu Address Resolution Protocol (ARP), ktorý bol navrhnutý v časoch kedy bezpečnosť nebola prioritou. Protokol ARP neposkytuje žiadny druh zabezpečenia. Tento útok patrí do kategórie Man in the middle (MITM). Útok ARP Spoofing je možné previezť iba v prípade, keď sa útočník nachádza v rovnakej broadcastovej doméne ako obeť, pretože ARP pakety sa za broadcastovú doménu nedostanú.

 

Protokol ARP:

Pre správne pochopenie útoku je potrebné najprv rozumieť ako funguje protokol ARP. 

 

 

 

 

Princíp útoku:

Útok ARP Spoofing pozostáva z nasledujúcich krokov:

 1.  Bežná komunikácia: 

Počítač OBEŤ komunikuje so smerovačom priamo, ÚTOČNÍK do sieťovej prevádzky nezasahuje.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 2.  Zapnutie smerovania:

Aby ÚTOČNÍK mohol príjmať a ďalej posielať prijaté pakety, tak je potrebné aby povolil smerovanie IP (IP forwarding), vďaka tomu sa stane dočasne smerovačom. V prípade že by ÚTOČNÍK nemal  povolené  smerovanie IP, tak by zachytenú cudziu prevádzku ďalej neodosielal.

 

 3.  Odosielanie falošných ARP paketov:

Útočník začne posielať ARP pakety s falošnými údajami počítaču OBEŤ a smerovaču. Tieto dva zariadenia ich prijmu, bez ohľadu na to, či o ne pred tým požiadali alebo nie. Toto je hlavná slabina, ktorú využíva útok ARP Spoofing.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 4.  Presmerovanie sieťovej komunikácie:

Po tom ako počítač OBEŤ prijme falošné ARP správy, tak sa presmeruje sieťová komunikácia medzi počítačom OBEŤ a smerovačom na počítač ÚTOČNÍK, ale zatial len jednosmerne v smere OBEŤ - SMEROVAČ. Prijaté ARP správy modifikujú záznamy v ARP tabulke nasledovne: 

z SMEROVAČ IP + SMEROVAČ MAC na SMEROVAČ IP + ÚTOČNÍK MAC.

OBEŤ sa bude mylne domnievať, že dáta odosiela smerovaču, no v skutočnosti ich odosiela ÚTOČNÍKOVI, ktorý ich ďalej prepošle smerovaču.

Tento istý stav nastane aj na smerovači, ktorý po prijatí falošných ARP správ zmení údaje v ARP tabuľke smerovača a to nasledovne:

z OBEŤ IP + OBEŤ MAC na OBEŤ IP + ÚTOČNÍK MAC.

Smerovač sa bude mylne domnievať, že dáta odosiela počítaću OBEŤ, no v skutočnosti ich odosiela počítaču ÚTOČNÍK, ktorý ich ďalej prepošle počítaču OBEŤ.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 5.  Odposluch sieťovej komunikácie:

Po úspešnom presmerovaní sieťovej komunikácie medzi počítačom OBEŤ a smerovačom sa počítač ÚTOČNÍK stáva prostredníkom komunikácie, ktorý je schopný pomocou sieťového analyzéra čítať správy medzi počítačom OBEŤ a smerovačom. Odpočúvaním môže zistiť citlivé údaje obete a to     napr.  prihlasovacie meno a heslo.

 

Animácia útoku:

 

© 2015 Vytvoril Ján Ivák

bottom of page