Làm thế nào Hacker sử dụng Nghị quyết Nghị quyết Địa chỉ để thâm nhập Mạng - núm vú

Các hacker có thể sử dụng ARP (Address Resolution Protocol) chạy trên mạng của bạn để làm cho hệ thống của họ xuất hiện dưới dạng hệ thống hoặc một máy chủ được ủy quyền khác trong mạng của bạn. Hãy ghi nhớ điều đó trong khi phát triển các biện pháp đối phó an ninh của bạn.

ARP spoofing

Một số lượng quá nhiều yêu cầu ARP có thể là một dấu hiệu của cuộc tấn công giả mạo ARP spoofing trên mạng của bạn.

Một khách hàng đang chạy một chương trình, như dsniff hay Cain & Abel, có thể thay đổi các bảng ARP - các bảng lưu trữ địa chỉ IP tới ánh xạ địa chỉ truy cập truyền thông ol trên các máy chủ mạng. Điều này làm cho các máy tính nạn nhân suy nghĩ rằng họ cần phải gửi lưu lượng truy cập đến máy tính của kẻ tấn công hơn là đến máy tính đích thật khi giao tiếp trên mạng.

Các bản trả lời ARP giả mạo có thể được gửi tới một switch, nó sẽ chuyển đổi sang chế độ phát sóng và chuyển nó thành trung tâm. Khi điều này xảy ra, kẻ tấn công có thể đánh hơi mọi gói tin chuyển qua và chụp bất cứ thứ gì và mọi thứ từ mạng.

Đây là cuộc tấn công giả mạo ARP điển hình với máy tính của hacker (Hacky) và hai máy tính của người dùng mạng hợp pháp (Joe và Bob):

1. Hacky gây độc cho các ARP của nạn nhân Joe và Bob bằng cách sử dụng dsniff, ettercap hoặc một tiện ích mà ông viết.

2. Joe liên kết địa chỉ MAC của Hacky với địa chỉ IP của Bob.

3. Bob liên kết địa chỉ MAC của Hacky với địa chỉ IP của Joe.

4. Lưu lượng truy cập của Joe và lưu lượng truy cập của Bob được gửi đến địa chỉ IP của Hacky trước.

5. Bộ phân tích mạng của Hacky bắt giữ lưu lượng truy cập của Joe và Bob.

Thực hiện các bước sau để sử dụng Cain & Abel để ngộ độc ARP:

Nạp Cain & Abel và sau đó nhấp vào tab Sniffer để vào chế độ phân tích mạng.

Nhấp vào biểu tượng Bắt đầu / Dừng APR.

1. Quy trình định tuyến ARP độc hại bắt đầu và cho phép trình kết hợp sniffer.

2. Nếu được nhắc, hãy chọn card mạng trong cửa sổ xuất hiện và sau đó nhấn OK.

   Nhấp vào biểu tượng + màu xanh lam để thêm máy chủ để thực hiện việc ngộ độc ARP trên.

3. Trong cửa sổ MAC Address Scanner xuất hiện, đảm bảo chọn All Hosts trong Subnet của tôi và sau đó nhấn OK.

4. Nhấp vào tab APR để tải trang APR.

5. Nhấp vào khoảng trắng bên dưới tiêu đề cột Trạng thái Trên cùng.

6. Thao tác này kích hoạt lại biểu tượng + màu lam.

7. Nhấp vào biểu tượng xanh dương + và cửa sổ Đường dẫn ARP Poison mới cho thấy các máy chủ được phát hiện trong Bước 3.

   Chọn tuyến đường mặc định của bạn.

8. Cột phải chứa tất cả các máy còn lại.

9. Ctrl + nhấp chuột vào tất cả các máy trong cột bên phải mà bạn muốn độc.

   Kích OK và bắt đầu quá trình ngộ độc ARP.

   

10. Quá trình này có thể mất từ ​​vài giây đến vài phút tùy thuộc vào phần cứng mạng của bạn và ngăn xếp TCP / IP cục bộ của máy chủ lưu trữ.

11. Bạn có thể sử dụng tính năng mật khẩu được xây dựng sẵn của Cain & Abel để thu thập mật khẩu đi qua mạng đến và đi từ các máy khác nhau bằng cách nhấp vào tab Mật khẩu.

    Các bước trước đây chỉ ra cách dễ dàng để khai thác một lỗ hổng và chứng minh rằng các thiết bị chuyển mạch Ethernet không phải là tất cả những gì họ đang nứt ra được.

    

12. Xử lý địa chỉ địa chỉ MAC

Xử lý địa chỉ MAC giả mạo

chuyển

vào suy nghĩ máy tính của bạn là cái gì khác. Bạn chỉ cần thay đổi địa chỉ MAC của máy tính và giả mạo là một người dùng khác. Bạn có thể sử dụng thủ thuật này để kiểm tra các hệ thống kiểm soát truy cập, chẳng hạn như IPS / tường lửa, và ngay cả các điều khiển đăng nhập hệ điều hành của bạn để kiểm tra các địa chỉ MAC cụ thể. Các hệ thống dựa trên UNIX

Trong UNIX và Linux, bạn có thể giả mạo các địa chỉ MAC bằng tiện ích ifconfig. Thực hiện theo các bước sau:

Khi đăng nhập bằng root, sử dụng ifconfig để nhập một lệnh vô hiệu hóa giao diện mạng.

Chèn số giao diện mạng mà bạn muốn vô hiệu hóa vào lệnh, như sau:

1. [root @ localhost root] # ifconfig eth0 xuống

   Nhập lệnh cho địa chỉ MAC mà bạn muốn sử dụng.

   Chèn địa chỉ MAC giả mạo và số giao diện mạng (eth0) vào lệnh một lần nữa, như sau:
   

2. [root @ localhost root] # ifconfig eth0 hw ether new_mac_address

   Bạn có thể sử dụng nhiều tính năng hơn tiện ích được gọi là GNU MAC Changer cho các hệ thống Linux.

Windows

Bạn có thể sử dụng regedit để chỉnh sửa Windows Registry, hoặc bạn có thể sử dụng tiện ích Windows gọn gàng gọi là SMAC, làm cho MAC giả mạo một quy trình đơn giản. Làm theo các bước sau để sử dụng SMAC:

Tải chương trình.

Chọn bộ điều hợp mà bạn muốn thay đổi địa chỉ MAC.

1. Nhập địa chỉ MAC mới trong trường Địa chỉ MAC giả mạo mới và nhấp vào nút Cập nhật MAC.

2. Dừng lại và khởi động lại card mạng bằng các bước sau:

3. Nhấp chuột phải vào card mạng trong Network and Dialup Connections và chọn Disable.

4. Nhấp chuột phải lần nữa và sau đó chọn Bật để thay đổi có hiệu lực.

   • Nhấp vào nút Refresh trong giao diện SMAC.

   • Để đảo ngược các thay đổi trong Registry với SMAC, hãy làm theo các bước sau:

5. Chọn bộ điều hợp mà bạn muốn thay đổi địa chỉ MAC.

Nhấp vào nút Hủy bỏ MAC.

1. Dừng lại và khởi động lại card mạng bằng các bước sau:

2. Nhấp chuột phải vào card mạng trong Network and Dialup Connections và chọn Disable.

3. Nhấp chuột phải lần nữa và sau đó chọn Bật để thay đổi có hiệu lực.

   • Nhấp vào nút Refresh trong giao diện SMAC.

   • Bạn sẽ thấy lại địa chỉ MAC ban đầu của bạn.

4. Các biện pháp đối phó với ngộ độc ARP và các cuộc tấn công giả mạo địa chỉ MAC

   Một vài biện pháp đối phó trên mạng của bạn có thể giảm thiểu tác động của cuộc tấn công chống lại ARP và địa chỉ MAC:

Ngăn ngừa:

Bạn có thể tránh giả mạo địa chỉ MAC thiết bị chuyển mạch có thể cho phép bảo mật cổng để ngăn chặn sự thay đổi tự động vào các bảng địa chỉ MAC.

• Phát hiện: Bạn có thể phát hiện hai loại hacks thông qua IPS hoặc một tiện ích theo dõi địa chỉ MAC độc lập.

• Arpwatch là một chương trình dựa trên Linux thông báo cho bạn qua e-mail khi phát hiện thay đổi địa chỉ MAC liên quan đến các địa chỉ IP cụ thể trên mạng.