Análisis ARP de suplantación de ARP
1. Concepto de ARP Antes de hablar de ARP, todavía necesitamos comprender el concepto y el principio de funcionamiento de ARP, y comprender el conocimiento principal para afrontar, analizar y abordar mejor los problemas. ARP, el nombre completo de Protocolo de resolución de direcciones, se llama Protocolo de resolución de direcciones en chino. Funciona en la capa de enlace de datos, contacta la interfaz de hardware de esta capa y proporciona servicios a la capa superior.
Los paquetes IP normalmente se envían a través de Ethernet. Los dispositivos Ethernet no reconocen direcciones IP de 32 bits, pero utilizan direcciones Ethernet de 48 bits para transmitir paquetes Ethernet. Por lo tanto, la dirección IP de destino debe traducirse a una dirección de destino Ethernet. En Ethernet, si un host quiere comunicarse directamente con otro host, debe conocer la dirección MAC del host de destino. Pero, ¿cómo se obtiene esta dirección MAC de destino? Se obtiene mediante el Protocolo de resolución de direcciones. El protocolo ARP se utiliza para resolver las direcciones IP de la red en direcciones de hardware (direcciones MAC) para garantizar una comunicación fluida. Primero, cada host creará una tabla ARP en su propio búfer ARP para representar la correspondencia entre la dirección IP y la dirección MAC. Cuando el host de origen necesita enviar un paquete de datos al host de destino, primero verificará si hay una dirección MAC correspondiente a la dirección IP en su tabla ARP. Si es así, enviará el paquete de datos directamente a la dirección MAC; de lo contrario, lo enviará a la red local y enviará un paquete de transmisión de solicitud ARP para consultar la dirección MAC correspondiente al host de destino. Este paquete de solicitud ARP incluye la dirección IP del host de origen, la dirección de hardware y la dirección IP del host de destino. Después de recibir esta solicitud ARP, todos los hosts de la red verificarán si la IP de destino en el paquete de datos es consistente con su propia dirección IP. De lo contrario, el paquete se ignora; si son iguales, el host primero agrega la dirección MAC y la dirección IP del remitente a su propia lista ARP. Si la información de IP ya existe en la lista ARP, se sobrescribirá y luego se enviará un paquete de respuesta ARP al host de origen, informándole a la otra parte que esta es la dirección MAC que necesita encontrar. Después de que el host de origen reciba este paquete de respuesta ARP, agregará la dirección IP y la dirección MAC del host de destino a su propia lista ARP y utilizará esta información para iniciar la transmisión de datos. Si el host de origen no recibe un paquete de respuesta ARP, la consulta ARP falla.
Por ejemplo:
La dirección de A es: IP: 192.168.10.1 MAC: AA-AA-AA-AA.
La dirección de B es: IP: 192.168.10.2 MAC: B B- B B-B B-bb.
Basándonos en el principio mencionado anteriormente, expliquemos brevemente este proceso: A necesita conocer la dirección Ethernet de B para comunicarse con B, por lo que A envía una transmisión de solicitud ARP (quién es 192.168.10.2, por favor dígaselo a 192.168. 300). Los resultados fueron consistentes con los míos y envié una respuesta de unidifusión ARP a A (192.168.10.2 en BB-BB-BB-BB). ¿Cuál es la tormenta de solicitudes ARP?
Modo de comunicación (posible):
Request-gt; Request-gt; Request-gt; Responder - gt; Solicitud - gt; Solicitud - gt; Solicitud...
Descripción:
Apareció una gran cantidad de paquetes de transmisión de solicitud ARP en la red y casi todos los hosts El segmento de red estaba escaneando. Una gran cantidad de transmisiones de solicitudes ARP pueden ocupar recursos de ancho de banda de la red; el escaneo ARP suele ser el preludio de los ataques ARP.
Causa (posible):
*Programas antivirus, oyentes y escáneres.
*Si el software de análisis de red se implementa correctamente, es posible que solo reflejemos algunos puertos en el conmutador, por lo que una gran cantidad de solicitudes ARP son emitidas por otros hosts conectados a puertos no reflejados.
*Si se implementan incorrectamente, estos paquetes de transmisión de solicitud ARP provienen de otros hosts conectados al conmutador. En la red, si alguien envía una respuesta ARP falsificada, puede haber un problema con la red. ¡Esto puede ser algo que los diseñadores del protocolo no consideraron al principio!
2.2.1 Principio de engaño
Supongamos que en un entorno de red, hay tres hosts en la red, a saber, los hosts A, B y c. La información detallada del host se describe a continuación:
La dirección de A es: IP: 192.168.10.1 MAC: AA-AA-AA-AA.
La dirección de B es: IP: 192.168.10.2 MAC: B B- B B-B B-bb.
La dirección de C es: IP: 192.168.10.3 MAC: CC-CC-CC-CC-CC.
En circunstancias normales, existe comunicación entre A y C, pero en este momento B envió su propia respuesta ARP falsificada a A. Los datos de esta respuesta son que la dirección IP del remitente es 192.168.10.3 (la de C). dirección IP), la dirección MAC es B B- B B- B B B B-B B B (la dirección MAC de C debe ser CC-. Cuando A recibe la respuesta ARP falsificada de B, actualizará el caché ARP local (A es engañado), luego B suplanta a C, y B también envía una respuesta ARP a C. En el paquete de respuesta, la dirección IP 4 del remitente es 192.168.10.1 (la dirección IP de A) y la dirección MAC es BB-BB-BB-BB (la dirección MAC de A). ya debería ser AA-B. El moderador B definitivamente sabe de lo que están hablando :). Este es un proceso típico de suplantación de ARP.
Nota: en términos generales, la parte que falsifica ARP debería ser una puerta de enlace.
2.2.2 Dos casos
Hay dos casos de suplantación de identidad de ARP: uno es engañar al host como "intermediario" y todos los datos del host engañado pasan. una vez, para que el host engañado pueda robar los datos de comunicación entre los hosts engañados; la otra es permitir que el host engañado se desconecte directamente de la red.
El primero: robar datos (sniffing)
Modo de comunicación:
Respuesta-gt;Respuesta-gt;Respuesta-gt;Respuesta-gt;Respuesta-gt;Respuesta-gt;Respuesta-gt;Respuesta-gt;Solicitud-gt; Respuesta...
Descripción:
Esta situación pertenece a la típica suplantación de ARP que mencionamos anteriormente. El host falsificador envía una gran cantidad de paquetes de respuesta ARP falsificados al host engañado para su suplantación. Cuando las dos partes que se comunican son engañadas con éxito, actúan como "intermediarios". En este momento, el anfitrión engañado aún puede comunicarse normalmente, pero el estafador lo "escucha" durante el proceso de comunicación. Motivo (posible):
*Virus troyano
*Olfateo
*Engaño creado por el hombre
El segundo tipo: provocar la desconexión de la red
p>
Modo de comunicación:
Respuesta-gt;Respuesta-gt;Respuesta-gt;Respuesta-gt;Respuesta-gt;Respuesta-gt;Solicitud.. .
Descripción:
Esta situación es que durante el proceso de suplantación de ARP, la persona engañada solo engaña a uno de ellos. Por ejemplo, B engaña a A, pero B no engaña. C al mismo tiempo, por lo que A esencialmente hace trampa y B se comunica, por lo que A no puede comunicarse con C. Otra situación puede ser que el engañador falsifique una dirección inexistente para engañar
Para fraude con direcciones falsificadas. , es más difícil de investigar. Es mejor pedir prestado un dispositivo TAP (esto parece un poco caro) para capturar el flujo de datos unidireccional para su análisis.
Causa (posible):
*Virus troyano
*Destrucción provocada por el hombre
*Funciones de control de algunos software de administración de red
3. p>En la actualidad, el problema más común en la protección contra ataques ARP es vincular IP y MAC, use software de protección ARP, también hay enrutadores con función de protección ARP.
Jaja, aprendamos estos tres métodos. El método más utilizado es vincular estáticamente IP y MAC. En la red, los hosts y las puertas de enlace están vinculados por IP y MAC.
La suplantación de identidad consiste en engañar a las máquinas de la intranet a través de las reglas dinámicas en tiempo real de ARP, por lo que podemos resolver la suplantación de identidad de las PC de la intranet configurando ARP para que sea completamente estático y también vincule estáticamente IP y MAC en la puerta de enlace. , para que el enlace bidireccional sea más seguro.
Método:
Vinculación estática de direcciones IP y MAC para cada host.
Con el comando, arp -s puede implementar la "dirección MAC IP arp -s".
Por ejemplo: "ARP–s 192.168.10.1AA-AA-AA".
Si la configuración se realiza correctamente, puede ver mensajes relacionados ejecutando arp -a en su PC:
Dirección de Internet tipo de dirección física
192.168.10.1AA - Tipo de dirección física de dirección de Internet estática AA-AA (estática).
192.168.10.1aa-aa-aa-aa-aa dinámico (dinámico)
Nota: Hay muchos hosts en la red, 500 hosts, 1000 hosts... Si te gusta La carga de trabajo de vincular estáticamente cada host de esta manera es muy grande. . . . Este enlace estático se debe volver a vincular cada vez que se reinicia la computadora. Aunque también puede ser un archivo por lotes, ¡sigue siendo problemático!