Índice:
- ARP spoofing
- Cain & Abel para intoxicação ARP
- O spoofing do endereço MAC
- sistemas baseados em UNIX
- Windows
- Contramedidas contra intoxicação por ARP e ataques de spoofing de endereço MAC
Vídeo: [Aula Gratuita TI] Guia definitivo para o cálculo de sub-redes - Congresso de TI 2024
Os hackers podem usar ARP (Address Resolution Protocol) em execução na sua rede para que seus sistemas apareçam como seu sistema ou outro host autorizado em sua rede. Tenha isso em mente ao desenvolver suas contramedidas de segurança.
ARP spoofing
Um número excessivo de pedidos ARP pode ser um sinal de um ARP spoofing ataque em sua rede.
Um cliente que executa um programa, como dsniff ou Cain & Abel, pode alterar as tabelas ARP - as tabelas que armazenam endereços IP para acessar mídia ol mapeamentos de endereço - em hosts de rede. Isso faz com que os computadores vítimas pensem que precisam enviar tráfego para o computador do invasor em vez do computador de destino verdadeiro ao se comunicarem na rede.
As respostas ARP falsas podem ser enviadas para um switch, que reverte o interruptor para o modo de transmissão e essencialmente o transforma em um hub. Quando isso ocorre, um invasor pode cheirar cada pacote passando pelo switch e capturar tudo e qualquer coisa da rede.
Aqui está um ataque típico de spoofing ARP com um computador de hackers (Hacky) e dois computadores de usuários de rede legítimos (Joe e Bob):
-
Hacky envenena o ARP caches das vítimas Joe e Bob usando dsniff, ettercap, ou uma utilidade que ele escreveu.
-
Joe associa o endereço MAC da Hacky com o endereço IP de Bob.
-
Bob associa o endereço MAC da Hacky com o endereço IP de Joe.
-
O tráfego de Joe e o tráfego de Bob são enviados primeiro ao endereço IP da Hacky.
-
O analisador de rede da Hacky captura o tráfego de Joe e Bob.
Cain & Abel para intoxicação ARP
Você pode executar envenenamento ARP em sua rede Ethernet comutada para testar seu IPS ou para ver como é fácil transformar um switch em um hub e capturar qualquer coisa com um analisador de rede.
Execute as seguintes etapas para usar Cain & Abel para intoxicação ARP:
-
Carregar Cain & Abel e, em seguida, clique na guia Sniffer para entrar no modo analisador de rede.
-
Clique no ícone Iniciar / Parar APR.
O processo de roteamento de ARP poison inicia e habilita o sniffer incorporado.
-
Se solicitado, selecione o adaptador de rede na janela que aparece e clique em OK.
-
Clique no ícone azul + para adicionar hosts para executar a intoxicação ARP.
-
Na janela do Scanner de endereço MAC que aparece, assegure-se de que a opção All Hosts in my Subnet esteja selecionada e clique em OK.
-
Clique na guia APR para carregar a página APR.
-
Clique no espaço em branco sob o cabeçalho da coluna Status mais alto.
Isso re-habilita o ícone azul +.
-
Clique no ícone azul + ea nova janela ARP Poison Routing mostra os hosts descobertos na Etapa 3.
-
Selecione sua rota padrão.
A coluna da direita enche todos os hosts restantes.
-
Ctrl + clique em todos os hosts na coluna da direita que você deseja vencer.
-
Clique em OK e começa o processo de envenenamento ARP.
Este processo pode levar de alguns segundos a alguns minutos dependendo do hardware da rede e da pilha TCP / IP local de cada host.
-
Você pode usar o recurso de senhas embutidas da Cain & Abel para capturar senhas que atravessam a rede para e de vários hosts simplesmente clicando na guia Senhas.
As etapas anteriores mostram o quão fácil é explorar uma vulnerabilidade e provar que os switches Ethernet não são tudo o que estão rachados.
O spoofing do endereço MAC
O spoofing do endereço MAC truque o switch para pensar que seu computador é outra coisa. Você simplesmente altera o endereço MAC do seu computador e o mascarada como outro usuário.
Você pode usar esse truque para testar sistemas de controle de acesso, como seu IPS / firewall e até mesmo seus controles de login do sistema operacional que verificam os endereços MAC específicos.
sistemas baseados em UNIX
Em UNIX e Linux, você pode falsificar endereços MAC com o utilitário ifconfig. Siga estes passos:
-
Enquanto estiver conectado como root, use ifconfig para inserir um comando que desabilita a interface de rede.
Insira o número da interface de rede que deseja desativar no comando, como este:
[raiz @ localhost root] # ifconfig eth0 down
-
Digite um comando para o endereço MAC que deseja usar.
Insira o endereço MAC falso e o número da interface de rede (eth0) no comando novamente, como este:
[raiz @ localhost root] # ifconfig eth0 hw ether new_mac_address
Você pode usar um recurso mais rico utilitário chamado GNU MAC Changer para sistemas Linux.
Windows
Você pode usar o regedit para editar o Registro do Windows, ou você pode usar um utilitário Windows limpo chamado SMAC, o que torna a MAC spoofing um processo simples. Siga estas etapas para usar o SMAC:
-
Carregar o programa.
-
Selecione o adaptador para o qual deseja alterar o endereço MAC.
-
Digite o novo endereço MAC nos campos Endereço novo do endereço MAC e clique no botão Atualizar MAC.
-
Pare e reinicie a placa de rede com estas etapas:
-
Clique com o botão direito do mouse na placa de rede em Conexões de rede e dial-up e escolha Desativar.
-
Clique com o botão direito do mouse novamente e, em seguida, escolha Ativar para que a alteração entre em vigor.
-
-
Clique no botão Atualizar na interface SMAC.
Para reverter as alterações do Registro com o SMAC, siga estas etapas:
-
Selecione o adaptador para o qual deseja alterar o endereço MAC.
-
Clique no botão Remover MAC.
-
Pare e reinicie a placa de rede com estas etapas:
-
Clique com o botão direito do mouse na placa de rede em Conexões de rede e dial-up e escolha Desativar.
-
Clique com o botão direito do mouse novamente e, em seguida, escolha Ativar para que a alteração entre em vigor.
-
-
Clique no botão Atualizar na interface SMAC.
Você deve ver seu endereço MAC original novamente.
Contramedidas contra intoxicação por ARP e ataques de spoofing de endereço MAC
Algumas contramedidas em sua rede podem minimizar os efeitos de um ataque contra endereços ARP e MAC:
-
Prevenção: Você pode evitar a falsificação de endereço MAC se o seu os switches podem ativar a segurança da porta para evitar mudanças automáticas nas tabelas de endereços MAC.
-
Detecção: Você pode detectar esses dois tipos de hacks através de um IPS ou um utilitário de monitoramento de endereços MAC autônomo.
O Arpwatch é um programa baseado em Linux que o alerta por e-mail quando detecta mudanças em endereços MAC associados a endereços IP específicos na rede.
