Prevedenie útoku ARP Spoofing
Podstata útoku:
Podstatou útoku ARP spoofing je to aby sa útočník stal prostredným členom v sieťovej komunikácií medzi dvoma systémami. Potom čo sa útočník stane prostredným členom v sieťovej komunikácií, tak je schopný odpočúvať prípadne meniť dáta preposielané medzi týmito dvoma zariadeniami. Útočník môže získať citlivé údaje ako napríklad meno, heslo..., ktoré môže zneužiť.
Popis útoku:
Útok ARP Spoofing je taktiež označovaný aj ako ARP cache poisoning. Využíva slabiny protokolu Address Resolution Protocol (ARP), ktorý bol navrhnutý v časoch kedy bezpečnosť nebola prioritou. Protokol ARP neposkytuje žiadny druh zabezpečenia. Tento útok patrí do kategórie Man in the middle (MITM). Útok ARP Spoofing je možné previezť iba v prípade, keď sa útočník nachádza v rovnakej broadcastovej doméne ako obeť, pretože ARP pakety sa za broadcastovú doménu nedostanú.
Protokol ARP:
Pre správne pochopenie útoku je potrebné najprv rozumieť ako funguje protokol ARP.
Prevedenie útoku:
Pri prevedení tohto útoku bola použitá nasledovná sieťová topológia: (Notebook - obeť, Počítač - útočník)
Postup prevedenia útoku na operačnom systéme Kali Linux:
1. Zapnutie smerovania:
Na to aby útočník po prevedení útoku prijímal prijaté pakety ale ich aj ďalej preposielal je potrebné aby povolil IP smerovanie. V prípade že by útočník nemal povolené smerovanie IP, tak by zachytenú cudziu prevádzku ďalej neodosielal a tým pádom by bol rýchlo odhalený.
2. Zistenie IP adresy obete a smerovača:
Útočník môže na zistenie IP adries použiť sieťový skener ako napríklad NMAP, ktorý slúži na hľadanie hostiteľských počítačov a služieb na danej sieti. Ale útočník musí poznať sieťovú IP adresu.
3. Odosielanie falošných ARP paketov:
Na vykonanie útoku je potrebné odosielať neustále falošné ARP pakety obeti a aj smerovaču. Na obrázkoch je zobrazené použitie nástroja Arpspoof. Parameter -t určuje IP adresu cieľovej stanice, ktorej sa budú zasielať falošné ARP pakety, druhým parametrom je IP adresa počítača, ktorého MAC adresa bude sfalšovaná. Útok sa dá zastaviť príkazom killall arpspoof.
Odosielanie ARP smerovaču:
Odosielanie ARP obeti:
4. Presmerovanie sieťovej komunikácie:
Po tom ako obeť prijme falošné ARP správy, tak sa presmeruje sieťová komunikácia medzi obeťou a smerovačom na útočníka, ale zatial len jednosmerne v smere OBEŤ - SMEROVAČ. Prijaté ARP správy modifikujú záznamy v ARP tabulke nasledovne:
z SMEROVAČ IP + SMEROVAČ MAC na SMEROVAČ IP + ÚTOČNÍK MAC.
OBEŤ sa bude mylne domnievať, že dáta odosiela smerovaču, no v skutočnosti ich odosiela ÚTOČNÍKOVI, ktorý ich ďalej prepošle smerovaču.
Tento istý stav nastane aj na smerovači, ktorý po prijatí falošných ARP správ zmení údaje v ARP tabuľke smerovača a to nasledovne:
z OBEŤ IP + OBEŤ MAC na OBEŤ IP + ÚTOČNÍK MAC.
Smerovač sa bude mylne domnievať, že dáta odosiela počítaću OBEŤ, no v skutočnosti ich odosiela počítaču ÚTOČNÍK, ktorý ich ďalej prepošle počítaču OBEŤ.
Na obrázkoch vidno ARP cache obete pred a po útoku.
5. Odposluch sieťovej komunikácie:
Po úspešnom presmerovaní sieťovej komunikácie medzi počítačom OBEŤ a smerovačom sa počítač ÚTOČNÍK stáva prostredníkom komunikácie, ktorý je schopný pomocou sieťového analyzéra čítať správy medzi počítačom OBEŤ a smerovačom. Odpočúvaním môže zistiť citlivé údaje obete a to napr. prihlasovacie meno a heslo.
Na obrázku je simulované prihlasovanie na nezabezpečený HTTP server počitačom obeť. A taktiež odposluch prihlasovacieho mena a hesla útočníkom.
Krádež hesla pomocou sieťového analyzéra:
