Kompüter şəbəkələrində ARP spoofing, ARP cache poisoning və ya ARP poison routing hücumu korlanmış (spoofed) ARP mesajlarını daxili şəbəkəyə göndərərək şəbəkəyə müdaxilə texnikasıdır. Bu hücumda əsas məqsəd hücumçunun MAC adresini başqa bir istifadəçinin İP -adresi ilə əlaqələndirməkdir (Məsələn: default-gateway). Default Gateway-ə olunan bu cür hücum bütün trafikin hücumçunun (attacker) cihazından keçməsinə şərait yaradır.
ARP spoofing hücumçuya şəbəkədəki bütün data hissəciklərini əldə etməyə, trafikdə dəyişiklik etməyə və ya trafiki dayandırmağa imkan verir. Bu hücum digər hücumlar üşün daha çəx başlanğıc xarakter daşıyır. Məsələn, denial of service, və ya .
Bu hücum ancaq ARP protokolundan istifadə edilən şəbəkələrdə işlədilir.
ARP təhlükəsizlik boşluqları
ARP protokolu internet təbəqəsi adreslərinin link təbəqə adreslərinə çevrilməsində işlədilən geniş yayılmış bir protokoldur.
Şəbəkədə Internet Protocol (IP) dataqram bir istifadəçidən başqa istifadəçiyə göndəriləndə hədəf İP adresə uyğun MAC adres tapılır ki, data link səviyyədə məlumat ötürülməsi olsun. Əgər şəbəkədə istifadəçinin İP adresi bilinir, MAC adresi bilinmirsə, radioyayım paketi (broadcast packet) göndərilir. Bu paket ARP sorğu adlanır. Bu sorğuya cavab olaraq, ARP reply (cavab) göndərilir və paketin daxilində İP-yə uyğun MAC adres də mövcud olur.
ARP cavablar şəbəkədəki hər kəs tərəfindən avtomatik olaraq alına bildiyi üçün sahibsiz protokol adlanır (stateless protocol). ARP cavablar aktiv olma müddəti bitmədən yeni cavablar tərəfindən üstələnə bilir. ARP protokolunun doğrulanması üçün hər hansı bir metodun olmaması ARP spoofing hücumları üçün təhlükəsizlik baxımından boşluqların yaranması ilə nəticələnir.
ARP spoofing hücumu analizi
ARP spoofing hücumunun əsas prinsipi qeyd olunan boşluqlara əsasən şəbəkəyə korlanmış (spoofed) ARP mesajların göndərilməsidir. ARP spoofing hücumları ya şəbəkədəki istifadəçilərin kompüterlerindən ya da hücumçunun öz cihazlarından edilə bilər.
Ümumi olaraq hücumun məqsədi hücumçunun MAC adresini hücum edilən istifadəçinin İP adresi ilə əlaqələndirməkdir, bununla da hücum edilən istifadəçiyə göndərilən trafik hücumçu tərəfindən ələ keçirilir. Hücumçu paketləri gözdən keçirir , trafikin üzərində dəyişiklik edərək əsl default gateway-ə (çıxış qapısı) göndərə bilər (man-in-the-middle-attack) və ya DOS hücum edərək bütün trafikin və ya trafikin bir hissəsinin silinməsinə səbəb ola bilər.
Müdafiə üsulları
Statik ARP girişləri
İP-yə uyğun MACların təyin edilməsi statik olaraq daxil edildikdə, istifadəçi cihazları başqa ARP cavab paketlərini ləğv edir. Əgər əməliyyat sisteminin statik girişləri düzgün çalışarsa ,bu cür təhlükəsizlik metodları ARP hücumlarının qarşısını ala bilər., amma bu üsul şəbəkəni məşğul edərək, şəbəkə keyfiyyətini azaldacaq.
ARP spoofing tapma proqramları
ARP spoofing hücumları ümumi olaraq müıyyın sertifikatları və ya ikili-ARP cavabları yoxlama ilə aşkar edilir. Sertifikikatsız ARP cavabları bu vasitə ilə bloklanır. Bu üsul DHCP serverlərlə də birləşdirilə bilər ki, bununla da həm dinamik həm də statik İP adreslər sertifikatlana bilər. Bu üsul həmçinin istifadəçilərin cihazlarında, və ya Ethernet switchlərdə və başqa şəbəkə cihazlarında tətbiq oluna bilər. Bir MAC adres-ə birçox İP adresin verilməsi də ARP spoofing hücumu kimi dəyərləndirilə bilər, baxmayaraq ki bu cür tənzimləmənin qanuni istifadəsi mövcuddur. Ən passiv yanaşma olaraq, şəbəkə cihazı vasitəsilə ARP cavabların dinlənməsi, ARP girişlər dəyişərsə email vasitəsiylə bildiriş göndərilməsidir.[citation needed]
Əməliyyat sistemi təhlükəsizliyi
Əməliyyat Sistemləri bu cür hücumlara müxtəlif reaksiyalar verə bilir, Məs; Linux bütün istənməyən cavabları rədd edir, amma istifadəçilər sorğuları görə bilirlər. Solaris girişlərdəki yeniləmələri girişlərin vaxtı bitdikdən sonra qəbul edirlər. Microsoft Windows-da, ARP sorğular yaddaşı tənzimləmələri aşağıdakı ünvandan edilir, HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters, ArpCacheLife, ArpCacheMinReferenceLife, ArpUseEtherSNAP, ArpTRSingleRoute, ArpAlwaysSourceRoute, ArpRetryCount.
AntiARP Windows-bazalı sistemlərdə kernel səviyyədə təhlükəsizliyi təmin edir. ArpStar kernel 2.6 Linux modul üçün və Linksys routerlər üçün etibarsız paketlərin silinməsində və paketlərin düzəldilməsində istifadə edilir.
Sertifikatın ən sadə forması statik girişlərdən istifadə olunmasıdır.. Bu halda sade spoofing hücumlar baş verə bilər və bu böyük şəbəkədə hiss edilmir. Hər bir şəbəkə cihazında şəbəkədəki n sayda cihaz qədər ARP girişlər mövcud olur.
İcazəli istifadə
ARP spoofing hücumunda istifadə olunan texnikalar həmçinin şəbəkə servislərinin əvəz olunmasında istifadə oluna bilər. Məsələn, bəzi proqramlar lazımsız ARP sorğuların backup serverlərə əlavə edilməsinin qarşısını ala bilir.
ARP spoofing developerlar tərəfindən 2 istifadəçinin İP trafikinin tınzimlənməsində istifadə olunur, əgər A və B istifadəçiləri ethernet süitch üzərindən əlaqə saxlayırlarsa, onların trafiki 3-cü şəxs istifadəçi B tərəfindən görülə bilməz. Developer A-nı M istifadəçinin MAC adresini alacaq şəkildə və M istifadəçisini paketləri göndərəcəyi şəkildə tənzimləyir. Bu halda M aradakı-şəxs hücumunda olduğu kimi trafiki izləyə bilər.
Tools
Name | OS | GUI | Free | Protection | Per interface | Active/passive |
Agnitum Outpost Firewall | Windows | passive | ||||
AntiARP | Windows | active+passive | ||||
Antidote | Linux | passive | ||||
Arp_Antidote | Linux | passive | ||||
Arpalert | Linux | passive | ||||
ArpON | Linux | active+passive | ||||
ArpGuard | Mac | active+passive | ||||
ArpStar | Linux | passive | ||||
Arpwatch | Linux | passive | ||||
ArpwatchNG | Linux | passive | ||||
Colasoft Capsa | Windows | no detection, only analysis with manual inspection | ||||
cSploit | Android (rooted only) | passive | ||||
Prelude IDS | ||||||
remarp | Linux | passive | ||||
Snort | Windows/Linux | passive | ||||
Winarpwatch | Windows | passive | ||||
XArp | Windows, Linux | active + passive | ||||
Seconfig XP | Windows 2000/XP/2003 only | only activates protection built-in some versions of Windows | ||||
zANTI | Android (rooted only) | passive |
Notlar
- ARP was defined by in 1982.
Həmçinin bax
- DNS spoofing
- IP address spoofing
- MAC spoofing
- Proxy ARP
İstinadlar
- ↑ Ramachandran, Vivek & Nandi, Sukumar. Detecting ARP Spoofing: An Active Technique // Jajodia, Suchil & Mazumdar, Chandan (redaktorlar ). . Birkhauser. 2005. səh. 239. ISBN 978-3-540-30706-8. 2021-04-17 tarixində . İstifadə tarixi: 2016-04-28.
- ↑ Lockhart, Andrew. . O'Reilly. 2007. səh. 184. ISBN 978-0-596-52763-1. 2016-12-23 tarixində . İstifadə tarixi: 2016-04-28.
- Lockhart, Andrew. . O'Reilly. 2007. səh. 186. ISBN 978-0-596-52763-1. 2014-08-20 tarixində . İstifadə tarixi: 2016-04-28.
- . 2017-08-26 tarixində . İstifadə tarixi: 2016-04-28.
- . 2011-06-06 tarixində arxivləşdirilib. İstifadə tarixi: 2016-04-28.
- . 2011-04-22 tarixində . İstifadə tarixi: 2016-04-28., retrieved 2013-01-04
- Simon Horman. . 2012-11-18 tarixində arxivləşdirilib. İstifadə tarixi: 2016-04-28.
- . tux_mind. 2019-03-12 tarixində . İstifadə tarixi: 2015-10-17.
- . 2020-06-16 tarixində . İstifadə tarixi: 2016-04-28.
Xarici Linklər
- Steve Gibson. . . 2005-12-11.