Inhoudsopgave:
- ARP-spoofing
- Cain en Abel voor ARP-vergiftiging
- Fouten in het MAC-adres
- UNIX-systemen
- Windows
- Tegenmaatregelen tegen ARP-vergiftiging en aanvallen met spoofing op het MAC-adres
Video: SCP Foundation Technical Support Issues page reading! funny joke scp tale / story 2024
Hackers kunnen ARP (Address Resolution Protocol) op uw netwerk gebruiken om hun systemen als uw systeem of een andere bevoegde host in uw netwerk te laten verschijnen. Houd dit in gedachten bij het ontwikkelen van beveiligingsmaatregelen tegenmaatregelen.
ARP-spoofing
Een te hoog aantal ARP-aanvragen kan een teken zijn van een ARP-spoofing -aanval op uw netwerk.
Een client met een programma, zoals dsniff of Cain & Abel, kan de ARP-tabellen wijzigen: de tabellen met IP-adressen tot mediatoegang contr ol adrestoewijzingen - op netwerkhosts. Hierdoor denken de computers van het slachtoffer dat ze verkeer naar de computer van de aanvaller moeten sturen in plaats van naar de echte doelcomputer wanneer ze communiceren op het netwerk.
Spoofed ARP-antwoorden kunnen naar een switch worden verzonden, waardoor de switch wordt teruggezet naar broadcast-modus en in wezen wordt omgezet in een hub. Wanneer dit gebeurt, kan een aanvaller elk pakket ruiken dat door de switch gaat en alles en nog wat van het netwerk vastleggen.
Dit is een typische ARP-spoofingaanval met een hackercomputer (Hacky) en twee legitieme netwerkgebruikerscomputers (Joe en Bob):
-
Hacky vergiftigt de ARP-caches van de slachtoffers Joe en Bob door dsniff, ettercap of een hulpprogramma dat hij schreef te gebruiken.
-
Joe associeert het MAC-adres van Hacky met het IP-adres van Bob.
-
Bob associeert het MAC-adres van Hacky met het IP-adres van Joe.
-
Het verkeer van Joe en Bob's verkeer worden eerst naar het IP-adres van Hacky verzonden.
-
Hacky's netwerkanalysator legt het verkeer van Joe en Bob vast.
Cain en Abel voor ARP-vergiftiging
U kunt ARP-vergiftiging uitvoeren op uw geschakelde Ethernet-netwerk om uw IPS te testen of om te zien hoe gemakkelijk het is om een switch in een hub te veranderen en alles vast te leggen met een netwerkanalysator.
Voer de volgende stappen uit om Cain & Abel te gebruiken voor ARP-vergiftiging:
-
Cain en Abel laden en klik vervolgens op het tabblad Sniffer om de netwerkanalysatormodus te openen.
-
Klik op het pictogram APR starten / stoppen.
Het ARP-gifterouteringsproces start en maakt de ingebouwde sniffer mogelijk.
-
Selecteer de netwerkadapter in het venster dat verschijnt wanneer u hierom wordt gevraagd en klik vervolgens op OK.
-
Klik op het blauwe + pictogram om hosts toe te voegen om ARP-vergiftiging uit te voeren.
-
Controleer in het geopende venster MAC Address Scanner of de optie Alle hosts in mijn subnet is geselecteerd en klik vervolgens op OK.
-
Klik op het tabblad APR om de APR-pagina te laden.
-
Klik op de witte ruimte onder de bovenste kolomkolom Status.
Hiermee wordt het blauwe + pictogram opnieuw ingeschakeld.
-
Klik op het blauwe + pictogram en het venster Nieuwe ARP-gifteroutering toont de hosts die in stap 3 zijn ontdekt.
-
Selecteer uw standaardroute.
De rechterkolom vult met alle overgebleven hosts.
-
Ctrl + klik op alle hosts in de rechterkolom die u wilt vergiftigen.
-
Klik op OK en het ARP-vergiftigingsproces wordt gestart.
Dit proces kan van enkele seconden tot enkele minuten duren, afhankelijk van uw netwerkhardware en de lokale TCP / IP-stack van elke host.
-
U kunt de ingebouwde functie voor wachtwoorden van Cain & Abel gebruiken om wachtwoorden vast te leggen die het netwerk doorkruisen van en naar verschillende hosts door eenvoudigweg op het tabblad Wachtwoorden te klikken.
De voorgaande stappen laten zien hoe gemakkelijk het is om een kwetsbaarheid te misbruiken en te bewijzen dat Ethernet-switches niet alles zijn waar ze voor zijn uitgekapt.
Fouten in het MAC-adres
Door spoofing van het MAC-adres wordt de schakelaar getraind om te denken dat uw computer iets anders is. U wijzigt eenvoudig het MAC-adres van uw computer en masquerade als een andere gebruiker.
U kunt deze truc gebruiken om toegangscontrolesystemen, zoals uw IPS / firewall, en zelfs uw login-besturingselementen voor besturingssystemen te testen die op specifieke MAC-adressen controleren.
UNIX-systemen
In UNIX en Linux kunt u MAC-adressen vervalsen met het hulpprogramma ifconfig. Volg deze stappen:
-
Gebruik ifconfig terwijl u bent aangemeld als root om een opdracht in te voeren die de netwerkinterface uitschakelt.
Voer het netwerkinteracenummer in dat u wilt uitschakelen in de opdracht, bijvoorbeeld:
[root @ localhost root] # ifconfig eth0 down
-
Voer een opdracht in voor het MAC-adres dat u wilt gebruiken.
Voeg het nep-MAC-adres en het netwerkinterfacenummer (eth0) opnieuw in de opdracht in, zoals dit:
[root @ localhost root] # ifconfig eth0 hw ether new_mac_address
U kunt een meer functierijk item gebruiken utility genaamd GNU MAC Changer voor Linux-systemen.
Windows
U kunt regedit gebruiken om het Windows-register te bewerken, of u kunt een net Windows-hulpprogramma SMAC gebruiken, wat van Mac-spoofing een eenvoudig proces maakt. Volg deze stappen om SMAC te gebruiken:
-
Laad het programma.
-
Selecteer de adapter waarvoor u het MAC-adres wilt wijzigen.
-
Voer het nieuwe MAC-adres in de velden Nieuwe spoofed MAC-adres in en klik op de knop MAC bijwerken.
-
Stop en start de netwerkkaart opnieuw met de volgende stappen:
-
Klik met de rechtermuisknop op de netwerkkaart in Netwerk- en inbelverbindingen en kies vervolgens Uitschakelen.
-
Klik nogmaals met de rechtermuisknop en kies vervolgens Inschakelen om de wijziging door te voeren.
-
-
Klik op de knop Vernieuwen in de SMAC-interface.
Ga als volgt te werk om registerwijzigingen met SMAC ongedaan te maken:
-
Selecteer de adapter waarvoor u het MAC-adres wilt wijzigen.
-
Klik op de knop MAC verwijderen.
-
Stop en start de netwerkkaart opnieuw met de volgende stappen:
-
Klik met de rechtermuisknop op de netwerkkaart in Netwerk- en inbelverbindingen en kies vervolgens Uitschakelen.
-
Klik nogmaals met de rechtermuisknop en kies vervolgens Inschakelen om de wijziging door te voeren.
-
-
Klik op de knop Vernieuwen in de SMAC-interface.
U zou uw oorspronkelijke MAC-adres opnieuw moeten zien.
Tegenmaatregelen tegen ARP-vergiftiging en aanvallen met spoofing op het MAC-adres
Een aantal tegenmaatregelen op uw netwerk kunnen de gevolgen van een aanval op ARP- en MAC-adressen minimaliseren:
-
Preventie: U kunt voorkomen dat het MAC-adres wordt vervalst als uw switches kunnen poortbeveiliging inschakelen om automatische wijzigingen aan de MAC-adrestabellen te voorkomen.
-
Detectie: U kunt deze twee soorten hacks detecteren via een IPS- of een standalone MAC-adresbewakingshulpprogramma.
Arpwatch is een op Linux gebaseerd programma dat u via e-mail waarschuwt wanneer het wijzigingen in MAC-adressen detecteert die zijn gekoppeld aan specifieke IP-adressen op het netwerk.