книги хакеры / Trabelsi_Setevye-ataki-i-zashchita_RuLit_Me_676546

получает сообщение запроса ARP, он полагает, что соединение должно быть выполнено, и затем создает новую запись в своем кэше ARP, используя поддельные адреса источника (IP и / или MAC), предоставленные в ARP сообщения. заголовок.

2.Обновите запись с поддельными адресами: Для этого целевому хосту отправляется запрос ARP или ответное сообщение с поддельными IP-адресами и MAC-адресами. Таким образом, даже если запись уже существует в кэше ARP целевого хоста, она

будет обновлена с использованием поддельных IP / MAC-адресов.

2.2.3 Обновление статического ARP кэша

Эффективный способ защиты кэша ARP от атак отравления состоит в использовании статических записей в кэше ARP. Записи не могут быть обновлены пакетами запросов и ответов ARP и не имеют срока действия, если они статичны. Однако это может обеспечить ложное чувство безопасности в некоторых ОС. Фактически, существуют ОС, которые отмечают статические записи в своих кэшах ARP, но авторизуют свои обновления с помощью пакетов запросов и ответов ARP. Следовательно, такие записи нельзя рассматривать как статические записи, а скорее как постоянные записи в кэшах ARP. Несколько распространенных ОС были протестированы на предмет повреждения их статических записей с помощью ARP-запросов и ответных сообщений. В качестве примеров ниже показано, что уязвимы только ARP-кэш Windows 2000 и SunOS Solaris 5.9. Следовательно, Windows 2000 и SunOS Solaris 5.9 не защищают злоумышленника от повреждения статических записей. Оставшиеся протестированные ОС предотвратили повреждение и обновление статических записей в кешах ARP. Поэтому в этих ОС статическая запись является постоянной и не может быть обновлена с помощью ARP-запросов и ответных сообщений.

В принципе, чтобы повредить записи в кэше ARP целевого хоста, вредоносный хост генерирует сообщения запроса или ответа ARP, включая поддельные IP и MAC-адреса.

Однако на практике успех этой вредоносной активности зависит от операционной системы целевого хоста. Вредоносный узел может попытаться отправить поддельные ответные сообщения ARP целевому узлу, даже если злонамеренный узел не получил никакого сообщения запроса ARP от целевого узла. Если ОС целевого хоста принимает поддельное ответное сообщение ARP от вредоносного хоста, не проверяя, было ли ранее сгенерировано сообщение запроса ARP, то полученное ответное сообщение ARP повредит кэш ARP целевого хоста. Однако новые ОС более устойчивы и не подвержены этой атаке. Альтернативно, злонамеренный хост может попытаться отправить сообщения запроса ARP вместо сообщений ответа ARP. В следующей таблице приведены результаты эксперимента, проведенного на нескольких распространенных ОС. Целью эксперимента было выявить, какие ОС с динамическими записями в кешах ARP были уязвимы для атаки отравления кешами ARP.

Обновление записей кэша ARP с использованием сообщений запросов и ответов ARP

Примечание:  = запрос или ответное сообщение ARP принимается системой и, следовательно, позволяет обновить или создать запись; и X = запрос или ответное сообщение ARP отклонено системой и, следовательно, не позволяет обновлять и создавать запись.

Предыдущая таблица четко указывает на то, что:

*Если запись уже существует в кэше ARP, все протестированные ОС разрешают ее обновление по ответу ARP (даже при отсутствии запроса ARP) или сообщениям запроса.

*Если запись не существует в кэше ARP, многие протестированные ОС не позволяют создавать новую запись с помощью ответного сообщения ARP. Однако все протестированные ОС допускают создание новой записи с помощью сообщения запроса ARP.

Поэтому, когда используются только ответные сообщения ARP, атаку с отравлением кэша ARP становится трудно реализовать для нескольких ОС, как показано в предыдущей таблице.

Тем не менее, остается возможность при использовании сообщений запроса ARP. В заключение, наиболее распространенные ОС попрежнему уязвимы для атаки отравления кэшем ARP. Вредоносные пользователи могут использовать сообщения запроса ARP для создания или обновления поддельных записей MAC / IP в кэшах ARP своих целевых хостов. Кроме того, ARP-запрос или ответные сообщения могут использоваться для поддержания существования поддельных записей MAC / IP в кэшах ARP целевых хостов.

2.2.4 Эксперимент

Следующий эксперимент описывает, как повредить кэш ARP целевого хоста. Эксперимент состоит из следующих этапов:

Шаг 1: Назначьте статические IP-адреса хостам сети. Шаг 2: Просмотр ARP-кэшей хостов.

Шаг 3: Создайте вредоносный пакет запроса ARP, чтобы повредить кэш ARP целевого хоста.

2.2.4.1 Архитектура сети

Архитектура сети, использованная в эксперименте, показана на следующем рисунке; три хоста подключены к коммутатору Cisco.

Обратитесь к Главе 1.

2.2.4.3 Шаг 2: Просмотр ARP-кэшей хостов

Чтобы отобразить содержимое кэша ARP хоста, введите онлайн команду: «C:> arp –a». Например, на снимке экрана ниже показано содержимое кэша ARP хоста A (192.168.1.2).

2.2.4.4 Создайте вредоносный пакет ARP-запросов, чтобы повредить кэш ARP целевого хоста

Мы предполагаем, что хост C хочет отравить кэш ARP хоста A, вставив следующую недопустимую запись: IP-адрес хоста B <-> MAC-адрес хоста C. Следовательно, хост C должен отправить хосту A следующий поддельный одноадресный ARP-запрос

Используя любой инструмент построения пакетов, вышеуказанный поддельный ARP-запрос может быть легко создан. CommView Visual Packet Builder предоставляет очень удобный графический интерфейс для создания пакетов ARP. На следующем снимке экрана показано содержимое пакета поддельного одноадресного ARP-запроса, созданного для повреждения кэша ARP узла A.

После отправки вышеуказанного поддельного пакета ARP на хост A, кэш ARP хоста A будет поврежден из-за неверной записи, как показано ниже.

Следовательно, до тех пор, пока ARP-кэш узла A остается поврежденным, весь трафик, отправляемый узлом A на узел B, будет перенаправляться на узел C. Следующие два упражнения описывают атаки DoS и MiM, основанные на отравлении кэша ARP.

2.3 Лабораторная работа 2.2: DoSатака на основе отравления ARP кэша

2.3.1 Результат

Цель этого практического упражнения - научить студентов выполнять DoS-атаку, основанную на методе отравления кэша ARP, в сети LAN.

2.3.2 DoS-атака на основе отравления ARP кэша

DoS-атака, основанная на отравлении кэша ARP, состоит в том, чтобы не дать хосту-жертве связаться с одним или несколькими хостами в локальной сети. Во-первых, вредоносный хост повреждает кэш ARP хоста-жертвы, используя метод отравления кеша ARP (описанный в лабораторной работе 2.1). Таким образом, кэш ARP хоста жертвы обновляется поддельными записями (IP-адресом и MAC-адресом), что соответствует неверной ассоциации IP-адресов и несуществующих MACадресов. Позже, когда хост-жертва пытается отправить пакеты на хост, пакет будет отправлен на несуществующий хост, вызывая ситуацию атаки DoS. Следовательно, хост-жертва не сможет отправлять пакеты законному хосту-получателю.

На следующем рисунке показан ARP-кэш хоста A жертвы перед атакой отравления ARP-кешем.

А на следующем рисунке показан ARP-кэш хоста A после атаки отравления ARP-кешем.

Кэш содержит поддельную запись, соответствующую сопоставлению IPадреса хоста B с несуществующим MAC-адресом. Следовательно, любой пакет, отправленный хосту B хостом A, будет перенаправлен на несуществующий хост. Это ситуация DoS, так как пакеты хоста A не могут достигнуть хоста B. Следовательно, хост A и хост B не могут обмениваться данными должным образом, пока не будет удалена поддельная запись в ARP-кэше хоста A. Это может быть сделано, когда узел A обновляет свое содержимое кэша ARP или обновляет его, когда получен законный запрос ARP или пакет ответа. Однако злонамеренный хост C может продолжать отправлять поддельный запрос ARP на хост A, и, следовательно, поддельная запись остается в кэше ARP, и ситуация с DoS сохранится.

Чтобы отравить кэш ARP хоста A, атакующий хост C должен отправить на хост жертвы A следующий поддельный пакет одноадресного ARP-запроса:

2.3.3 Эксперимент

Этот эксперимент описывает, как практически выполнять DoSатаки на основе метода отравления кэша ARP. В эксперименте используется та же сетевая архитектура, которая описана в лабораторной работе 2.1. Кроме того, мы предполагаем, что хост C является вредоносным хостом и планирует запретить хосту A (жертве) обмениваться данными с хостом B. Чтобы выполнить эту DoS-атаку, хосту C необходимо повредить кэш ARP хоста A, вставив фальшивый файл. запись в ARP-кэше хоста А. Поддельная запись - это IP-адрес хоста B, связанный с несуществующим MACадресом. Эксперимент состоит из следующих этапов:

Шаг 1: Назначьте статические IP-адреса хостам сети. Шаг 2. Просмотр ARP-кэша хоста A.

Шаг 3: Создайте вредоносный пакет ARP-запроса. Шаг 4: Проверьте DoS-атаку.

2.3.3.1 Шаг 1. Назначьте статические IPадреса хостам сети

Обратитесь к Главе 1.

2.3.3.2 Шаг 2. Просмотр ARP-кэша хоста A

На следующем снимке экрана показано содержимое кэша ARP узла A до атаки отравления кэшем ARP.