3

Отравление ARP TLDR не меняет IP dst в таблице, так почему подмена MAC под другим IP-адресом помогает перенаправить трафик?

Любое видео, которое я нахожу, объясняет, что цель отравления ARP состоит в том, чтобы отправить нежелательное сообщение, чтобы «перезаписать» таблицу ARP хоста и маршрутизатора, чтобы MAC-адрес злоумышленника MitM был связан с обоими так, чтобы они выглядели так:

Жертва: aa: bb: cc: dd: ee: ff (192.168.1.100) Маршрутизатор: aa: bb: cc: dd: ee: ff (192.168.1.1) MitM Машина: aa: bb: cc: dd: ee: ff (192.168.1.199)

Таким образом, оба заканчивают тем, что посылают Посланнику в середине, который тогда направит к конечным точкам 192.168.1.199 и 192.168.1.1, у которых фактически был другой MAC-адрес.

...Мой вопрос, как это работает? Если вы обманываете эти устройства, связывая неправильный MAC с правильным IP-адресом, как трафик фактически перенаправляется? Я имею в виду, как я вижу это так:

Жертва> пакет к маршрутизатору в 192.168.1.1> добирается до маршрутизатора и открывает пакет, чтобы обнаружить, что MAC неправильный?

|источник

3 ответа3

1

Как работает ARP Poisoning, если IP-адрес неверен?

Обычно это называется ARP Spoofing, но также называется ARP Poison Routing (APR) или ARP Cache Poisoning.

ARP Poisoning не меняет IP-адрес в таблице, так почему подмена MAC-адреса под другим IP-адресом помогает перенаправить трафик?

  • Концентраторы, коммутаторы и сторона Lan данных маршрутизатора маршрутизируют с использованием MAC-адреса, содержащегося в кадре данных Ethernet.

  • Во время атаки записи таблицы ARP для IP-адреса жертвы будут содержать MAC-адрес атакующего.

  • Когда какие-либо данные отправляются на или с IP-адреса жертвы, они будут направлены на MAC-адрес злоумышленника.

Цель отравления ARP - отправить нежелательное сообщение, чтобы «перезаписать» таблицу ARP хоста и маршрутизатора, чтобы MAC-адрес злоумышленника MitM был связан с обоими.

Нет, это не правильно.

  • Записи таблицы ARP для IP-адреса жертвы будут содержать MAC-адрес атакующего.
  • Записи таблицы ARP для IP-адреса маршрутизатора не изменяются.
  • Атакующий может перенаправить трафик с IP-адреса жертвы на маршрутизатор, но ему это не нужно.

Посмотрите, что происходит дальше ниже для получения дополнительной информации.

Что такое спуфинг ARP?

Подмена ARP - это тип атаки, при котором злоумышленник отправляет фальсифицированные сообщения ARP (Address Resolution Protocol) по локальной сети. Это приводит к связыванию MAC-адреса злоумышленника с IP-адресом законного компьютера или сервера в сети.

Как только MAC-адрес злоумышленника подключен к подлинному IP-адресу, злоумышленник начнет получать любые данные, предназначенные для этого IP-адреса.

Подмена ARP может позволить злоумышленникам перехватывать, изменять или даже останавливать передачу данных. Атаки ARP-спуфинга могут происходить только в локальных сетях, использующих протокол разрешения адресов.

Источник Veracode ARP Spoofing

Как это работает?

ARP-спуфинговые атаки обычно следуют аналогичному прогрессу. Шаги для ARP-спуфинга обычно включают в себя:

  1. Атакующий открывает инструмент спуфинга ARP и устанавливает IP-адрес инструмента в соответствии с IP-подсетью цели. Примеры популярных программ подмены ARP включают Arpspoof, Cain & Abel, Arpoison и Ettercap.

  2. Атакующий использует инструмент спуфинга ARP для сканирования IP-адресов и MAC-адресов хостов в подсети цели.

  3. Атакующий выбирает цель и начинает посылать пакеты ARP через ЛВС, которые содержат MAC-адрес атакующего и IP-адрес цели.

  4. Поскольку другие хосты в локальной сети кэшируют поддельные пакеты ARP, данные, которые эти хосты отправляют жертве, вместо этого отправляются злоумышленнику. Отсюда злоумышленник может украсть данные или запустить более сложную последующую атаку.

Источник Veracode ARP Spoofing

Что происходит дальше?

Злоумышленник может выбрать проверку пакетов (шпионаж), перенаправляя трафик к фактическому шлюзу по умолчанию, чтобы избежать обнаружения, изменить данные перед их пересылкой (атака «человек посередине») или запустить отказ в обслуживании. атаковать, вызывая сброс некоторых или всех пакетов в сети.

Источник Википедии ARP подмена

дальнейшее чтение

|источник
0

Например, в локальной сети, подключенной коммутатором, коммутатор не будет декапсулировать пакет до уровня сети (уровень 3 OSI). Он только проверит MAC из своей таблицы CAM и перенаправит пакет на соответствующий порт. Вот почему IP не проверяется, особенно когда таблица CAM коммутатора уже заполнена.

|источник
0

Когда пакет отправляется в сети канального уровня, он отправляется на MAC-адрес злоумышленника, поэтому его получает злоумышленник, а не предполагаемый получатель.

Давайте сделаем это немного более конкретным, указав сеть канального уровня. Давайте возьмем Ethernet для примера. Сетевые адаптеры Ethernet знают только о своем собственном (Ethernet) уровне. Они не знают, что такое IP, поэтому они понятия не имеют, как эти пакеты могут быть адресованы на уровне IP. Это все непрозрачные байты полезной нагрузки для сетевых адаптеров Ethernet. Отправляющий сетевой адаптер просто знает, что ему был передан кадр для aa:bb:cc:dd:ee:ff, поэтому он помещает этот адрес назначения и передает его. Только NIC атакующего запрограммирован на просмотр кадров, адресованных aa:bb:cc:dd:ee:ff, поэтому только NIC атакующего получает кадр, передавая его в сетевой стек операционной системы своего хоста.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .