Что такое атака с подделкой записей в кэше ARP
Обновлено: 05.07.2024
База данных эксплойтов поддерживается Offensive Security, компанией по обучению информационной безопасности, которая предоставляет различные сертификаты информационной безопасности, а также высококлассные услуги по тестированию на проникновение. База данных эксплойтов — это некоммерческий проект, предоставляемый Offensive Security в качестве общедоступной услуги.
База данных эксплойтов — это CVE-совместимый архив общедоступных эксплойтов и соответствующего уязвимого программного обеспечения, разработанный для использования тестировщиками на проникновение и исследователями уязвимостей. Наша цель — предоставить наиболее полную коллекцию эксплойтов, собранных посредством прямой отправки, списков рассылки, а также других общедоступных источников, и представить их в свободно доступной и удобной для навигации базе данных. База данных эксплойтов — это хранилище эксплойтов и доказательств концепции, а не рекомендаций, что делает ее ценным ресурсом для тех, кому нужны данные для действий прямо сейчас.
База данных Google Hacking Database (GHDB) – это систематизированный индекс запросов поисковых систем в Интернете, предназначенный для обнаружения интересной и обычно конфиденциальной информации, которая находится в открытом доступе в Интернете. В большинстве случаев эта информация никогда не предназначалась для обнародования, но по ряду причин эта информация была связана в веб-документе, который был просканирован поисковой системой, которая впоследствии перешла по этой ссылке и проиндексировала конфиденциальную информацию.
Процесс, известный как Google Hacking, был популяризирован в 2000 году Джонни Лонгом, профессиональным хакером, который начал каталогизировать эти запросы в базе данных, известной как Google Hacking Database. Его первоначальные усилия были подкреплены бесчисленными часами усилий членов сообщества, задокументированных в книге Google Hacking For Penetration Testers и популяризированных шквалом внимания средств массовой информации и выступлениями Джонни на эту тему, такими как это раннее выступление, записанное на DEFCON 13. Джонни придумал этот термин. «Googledork» для обозначения «глупого или неумелого человека, как показал Google». Это должно было привлечь внимание к тому факту, что это не «проблема Google», а скорее результат часто непреднамеренной неправильной настройки со стороны пользователя или программы, установленной пользователем. Со временем термин «дорк» стал сокращением для поискового запроса, который находил конфиденциальную информацию, а «дорки» были включены в майские выпуски уязвимостей веб-приложений, чтобы показать примеры уязвимых веб-сайтов.
После почти десятилетия упорной работы сообщества Джонни в ноябре 2010 года передал GHDB компании Offensive Security, и теперь она поддерживается как расширение базы данных эксплойтов. Сегодня GHDB включает поиск в других поисковых системах, таких как Bing, и в других онлайн-репозиториях, таких как GitHub, что дает разные, но не менее ценные результаты.
Атаки с подменой ARP позволяют хакерам выдавать себя за ваш компьютер и красть весь ваш трафик
Это обычный прием в шпионских фильмах. Вы радостно наблюдаете с попкорном в руке, как вдруг персонаж делает что-то совершенно неожиданное и непохожее на него. Вы в шоке. Вы спрашиваете себя: «Что только что произошло? Я думал, что они оба были хорошими парнями? Почему он стрелял в того парня?! Затем вас поражает сюжетный поворот — оказывается, плохой парень все время носил маску и выдавал себя за другого, чтобы достичь своих гнусных целей! Однако в мире кибербезопасности «замаскированный плохой парень» является отличной иллюстрацией того, как работают атаки с подделкой ARP.
Подобно Тому Крузу и его маскам в фильме "Миссия невыполнима", хакеры маскируются с помощью мошеннических пар IP/MAC-адресов для проведения атак с подделкой ARP.
Спуфинг ARP происходит, когда злоумышленник манипулирует взаимосвязью между адресами управления доступом к среде (MAC) и адресами интернет-протокола (IP). В конце концов, они кажутся кем-то другим для всех других устройств в вашей сети (и, таким образом, они получают весь трафик, предназначенный для реального пользователя). Последствия могут быть серьезными, так как спуфинговые атаки ARP могут привести не только к краже ваших данных, но и к перехвату сеанса, распределенным атакам типа «отказ в обслуживании» (DDoS) и многому другому.
Итак, что такое ARP? Как работает спуфинг ARP? Как вы можете обнаружить это? И самое главное, как вы можете предотвратить это?
Давайте обсудим это.
Что такое ARP?
Чтобы полностью понять, что такое спуфинг ARP и как он работает, нам сначала нужно узнать, что такое сам ARP. Он означает протокол разрешения адресов, и его основная функция заключается в преобразовании адресов интернет-уровня в адреса канального уровня. Другой способ представления ARP заключается в том, что он преобразует MAC-адреса в адреса Интернет-протокола (и наоборот).
По сути, ARP позволяет вашим устройствам связываться с маршрутизатором или шлюзом и в конечном итоге подключаться к Интернету.Хосты хранят таблицу сопоставления, также известную как кэш ARP, которая вызывается, когда IP-пакет отправляется между хостами в локальной сети. По сути, это перекрестная ссылка между MAC-адресами и IP-адресами, упрощающая соединения между различными пунктами назначения в сети.
Если MAC-адрес определенного IP-адреса неизвестен хосту, передается широковещательный пакет (также называемый запросом ARP). Машина с IP-адресом, найденным в запросе ARP, затем отвечает своим MAC-адресом. Затем он добавляется в кеш ARP на случай, если с той же машины поступят дополнительные запросы.
Безопасность в ARP
К сожалению, при создании ARP не учитывалась безопасность. ARP также является протоколом без сохранения состояния, и хосты будут кэшировать ответы ARP, даже если запрос ARP никогда не отправлялся. Кроме того, записи ARP, срок действия которых не истек, перезаписываются при получении нового ответа ARP.
Самое главное, не выполняется никаких проверок, подтверждающих, что запросы ARP исходят от авторизованного пользователя. Эта уязвимость в ARP позволяет проводить атаки с подделкой ARP.
ARP работает только со стандартом IPv4 и 32-битными IP-адресами. IPv6, с другой стороны, решает некоторые присущие ARP проблемы безопасности. Вместо этого он использует протокол Neighbor Discovery Protocol (NDP), который использует криптографические ключи для подтверждения личности хостов. Однако большая часть Интернета по-прежнему использует IPv4, поэтому ARP по-прежнему широко используется.
Что такое спуфинг ARP?
Подмена ARP, также известная как отравление ARP, происходит, когда вредоносные пакеты ARP отправляются на шлюз по умолчанию в локальной сети. Это делается для изменения пар IP/MAC-адресов в таблице ARP. Хакер сообщает шлюзу, что его MAC-адрес теперь должен быть связан с IP-адресом целевой жертвы. Обратное также происходит, когда MAC-адрес цели становится связанным с IP-адресом злоумышленника.
Затем шлюз по умолчанию кэширует новые отношения IP/MAC и отправляет эту информацию на другие устройства в сети. Это означает, что все последующие сообщения будут сначала направляться на машину злоумышленника, а не на предполагаемого получателя.
Атаки с подменой ARP происходят на относительно низком уровне, что приносит пользу хакерам, поскольку жертвам может быть трудно обнаружить, что их трафик был затронут (но, как мы скоро доберемся, существуют способы как обнаружения, так и предотвратить спуфинговые атаки ARP).
Этапы атаки ARP-спуфинга
Атаки с подделкой ARP обычно выполняются по одним и тем же общим шагам:
- Злоумышленник получает доступ к локальной сети, а затем сканирует ее, чтобы найти IP-адреса устройств.
- Атакующий использует инструмент спуфинга, такой как Driftnet или Arpspoof, для подделки ответов ARP.
- IP-адрес инструмента соответствует IP-подсети жертвы.
Вы можете увидеть, как все части сочетаются друг с другом, на диаграмме ниже:
![Схема спуфинга ARP]()
Для чего используется спуфинг ARP
Большая часть того, почему спуфинг ARP так опасен, заключается в том, что он обычно используется в качестве отправной точки для других, более изощренных видов атак. Как только злоумышленник успешно осуществит атаку с подменой ARP, он сможет легко перейти к выполнению:
Как обнаружить спуфинг ARP?
Существует несколько различных способов обнаружения атак с подменой ARP. Во-первых, это сторонние программы. Они делятся на две категории. Во-первых, есть более общие сетевые инструменты, такие как Wireshark (который также является бесплатным и с открытым исходным кодом), которые позволяют вам просматривать весь ваш сетевой трафик и помогают со всеми видами устранения неполадок и анализа. Кроме того, у вас есть программы, созданные исключительно для обнаружения спуфинга ARP, такие как XArp (доступны бесплатная и расширенная версии), которые постоянно отслеживают вашу сеть на наличие атак спуфинга ARP.
Не хотите устанавливать дополнительную внешнюю программу? Тогда вам повезло, потому что вы также можете использовать встроенные функции вашей операционной системы для обнаружения спуфинга ARP. В этой статье мы рассмотрим, как это сделать с помощью Windows и Linux (команды одинаковы для обоих):
- В этом методе используется командная строка, поэтому мы начинаем с открытия оболочки операционной системы в качестве администратора. В Windows 10 это будет выглядеть так:
![]()
- Введите следующую команду, чтобы отобразить таблицу ARP:
Результат должен выглядеть примерно так:
![]()
- Далее вам нужно проверить, есть ли несколько IP-адресов с одинаковым MAC-адресом (названным выше «Физический адрес»). Это указывает на то, что происходит атака с подменой ARP.
К счастью, мы в безопасности. Однако, если бы произошла атака, это выглядело бы примерно так, как вы видите ниже. Двойные MAC-адреса, соответствующие двум разным IP-адресам (обведены красным), являются неопровержимым доказательством:
![]()
В приведенном выше примере IP-адрес 192.168.43.1, скорее всего, является маршрутизатором, поэтому можно с уверенностью предположить, что IP-адрес злоумышленника — 192.168.43.220.
Если вы имеете дело с большой сетью, то метод командной строки будет более громоздким и сложным в использовании, поскольку вам придется просмотреть десятки, сотни или даже тысячи записей (в отличие от нескольких, если вы например, в вашей домашней сети). В этом случае специализированные программы, о которых мы упоминали ранее, такие как Wireshark или XArp, вероятно, лучше всего подходят для обнаружения спуфинга ARP.
Как предотвратить спуфинг ARP
Есть несколько вещей, которые ваша организация может сделать, чтобы свести к минимуму вероятность атаки спуфинга ARP в вашей сети. Некоторые из них являются конкретными действиями, которые вы должны предпринять, а другие являются общими рекомендациями, которым следует всегда следовать:
В поисках невидимого мужчины (или женщины)
Если вы не знаете, на что обращать внимание, обнаружить спуфинговые атаки ARP может быть сложно. Если задуматься, в этом и заключается весь смысл — злоумышленник выдает себя за конкретное устройство в вашей сети и использует свою невидимость для кражи данных, к которым у него не должно быть доступа. Как мы видели, спуфинг ARP может привести к дальнейшим атакам, которые могут привести к катастрофе для вашей организации.
Убедитесь, что ваши сотрудники осведомлены о спуфинге ARP и опасностях, которые он представляет, и разверните в своей сети инструменты, которые могут обнаруживать такие атаки. Тогда невидимым злоумышленникам негде будет спрятаться, а ваши данные останутся в безопасности.
Узнайте, что такое отравление ARP, о самом протоколе, а также о том, как вы можете обнаружить и остановить эти атаки.
![ARP-подмена]()
Отравление протокола разрешения адресов (ARP) — это атака, в ходе которой отправляются поддельные сообщения ARP по локальной сети. Это также известно как спуфинг ARP, маршрутизация отравления ARP и отравление кэша ARP.
Эти атаки пытаются вместо этого перенаправить трафик с изначально предназначенного хоста на злоумышленника. Отравление ARP делает это, связывая адрес управления доступом к среде (MAC) злоумышленника с IP-адресом цели. Он работает только с сетями, использующими ARP.
Отравление ARP — это тип атаки "человек посередине", которую можно использовать для остановки сетевого трафика, его изменения или перехвата. Этот метод часто используется для инициирования дальнейших атак, таких как перехват сеанса или отказ в обслуживании.
![ARP отравление_спуфинга]()
Прежде чем вы сможете понять, что такое отравление ARP, важно хорошо разбираться в протоколе ARP. Прежде чем мы сможем поговорить о протоколе ARP, нам нужно немного вернуться назад и поговорить о наборе интернет-протоколов.
Набор интернет-протоколов
Когда вы открываете веб-браузер на своем телефоне, мемы и изображения кошек доставляются вам почти мгновенно и без особых усилий, что делает процесс простым.
Может показаться, что ваш телефон и сервер, на котором размещены изображения кошек, связаны между собой, как две чашки на нитке, и что, как два ребенка, играющие в телефон, изображение кошки просто перемещается по некоторым проводам и появляется на вашем телефоне, как звук голоса по струне. Учитывая распространенность Wi-Fi и интернета в наши дни, может даже показаться, что изображение кота каким-то образом путешествует по эфиру.
Конечно, это не так. Путешествие изображения кота на самом деле довольно сложное: оно проходит через многоуровневую систему, которая лучше всего аппроксимируется моделью набора интернет-протоколов:
- Прикладной уровень. На прикладном уровне ни вы, ни ваш веб-браузер, ни серверное программное обеспечение не знаете, как вам было доставлено изображение кота. Вы не знаете, через сколько маршрутизаторов прошли данные для изображения кота и передавались ли они по беспроводным соединениям. Все, что вы знаете, это то, что вы нажали на ссылку и изображение кота пришло к вам.
- Транспортный уровень. С транспортным уровнем мы немного разобрались.Транспортный уровень отвечает за установление соединения между клиентом (вашим телефоном) и сервером, на котором размещен веб-сайт. Транспортный уровень следит за соединением и ищет ошибки, но ему все равно, как данные перемещаются между клиентом и сервером.
- Интернет-уровень. Программное обеспечение интернет-уровня отвечает за перемещение данных между сетями. Он не заботится о данных изображения кошки и обрабатывает их так же, как данные для электронной книги по химии. Как только программное обеспечение интернет-уровня передает данные изображения кошки в вашу локальную сеть, оно передает их программному обеспечению канального уровня.
- Канальный уровень. Программное обеспечение канального уровня перемещает как входящие, так и исходящие данные в вашей локальной сети. Он берет данные для изображения кошки из программного обеспечения интернет-уровня и доставляет их на ваше устройство.
Каждый из вышеперечисленных уровней может иметь множество различных протоколов, проходящих через них для выполнения своей работы. Этот беспорядок системы каким-то образом слаженно работает, чтобы перенести изображение кота с сервера на экран вашего телефона.
Что такое протокол разрешения адресов (ARP)?
Протокол разрешения адресов (ARP) — это просто один из этих протоколов. Он используется для определения того, какой адрес канального уровня, например MAC-адрес, соответствует заданному адресу интернет-уровня для физической машины. Обычно это адреса IPv4.
Связь между заданным MAC-адресом и его IP-адресом хранится в таблице, известной как кэш ARP. Когда пакет, направляющийся к хосту в локальной сети, достигает шлюза, шлюз использует ARP для связывания MAC-адреса или физического адреса хоста с коррелирующим IP-адресом.
Затем хост выполняет поиск в своем кэше ARP. Если он находит соответствующий адрес, адрес используется для преобразования формата и длины пакета. Если правильный адрес не найден, ARP отправит пакет запроса, который спрашивает другие машины в локальной сети, знают ли они правильный адрес. Если машина отвечает адресом, он обновляется в кэше ARP на случай будущих запросов из того же источника.
Что такое отравление ARP?
Теперь, когда вы больше знаете о базовом протоколе, мы можем более подробно рассказать об отравлении ARP. Протокол ARP был разработан, чтобы быть эффективным, что привело к серьезному отсутствию безопасности в его конструкции. Это позволяет кому-то относительно легко организовать эти атаки, если у него есть доступ к локальной сети своей цели.
Отравление ARP заключается в отправке поддельных пакетов ответа ARP на шлюз по локальной сети. Злоумышленники обычно используют инструменты спуфинга, такие как Arpspoof или Arppoison, чтобы упростить работу. Они устанавливают IP-адрес инструмента в соответствии с адресом своей цели. Затем инструмент сканирует целевую локальную сеть на наличие IP- и MAC-адресов ее хостов.
После того как злоумышленник получает адреса хостов, он начинает рассылать поддельные ARP-пакеты по локальной сети на хосты. Мошеннические сообщения сообщают получателям, что MAC-адрес злоумышленника должен быть связан с IP-адресом машины, на которую он нацелен.
В результате получатели обновляют свой кэш ARP с адресом злоумышленника. Когда получатели свяжутся с целью в будущем, их сообщения фактически будут отправлены злоумышленнику.
В этот момент злоумышленник тайно находится в центре обмена данными и может использовать это положение для чтения трафика и кражи данных. Злоумышленник также может изменить сообщения до того, как они достигнут цели, или даже полностью прекратить обмен данными.
Злоумышленники могут использовать эту информацию для организации дальнейших атак, таких как отказ в обслуживании или перехват сеанса:
-
– Эти атаки могут связать несколько отдельных IP-адресов с MAC-адресом цели. Если достаточное количество адресов отправляют запросы к цели, она может быть перегружена трафиком, что нарушает ее работу и делает ее непригодной для использования.
- Перехват сеанса – спуфинг ARP можно использовать для кражи идентификаторов сеанса, которые хакеры используют для получения доступа к системам и учетным записям. Получив доступ, они могут устраивать любые разрушения против своих целей.
- Рабочая станция VMware
- Kali Linux или операционная система Linux
- Инструмент Ettercap
- Подключение к локальной сети
Как обнаружить отравление ARP
Отравление ARP можно обнаружить несколькими способами. Вы можете использовать командную строку Windows, анализатор пакетов с открытым исходным кодом, такой как Wireshark, или проприетарные опции, такие как XArp.
Командная строка
Если вы подозреваете, что можете подвергнуться атаке отравления ARP, вы можете проверить это в командной строке. Сначала откройте командную строку от имени администратора. Самый простой способ — нажать клавишу Windows, чтобы открыть меню «Пуск». Введите «cmd», затем одновременно нажмите Ctrl, Shift и Enter.
Появится командная строка, хотя вам, возможно, придется нажать «Да», чтобы дать приложению разрешение на внесение изменений. В командной строке введите:
Это даст вам таблицу ARP:
*Адреса на изображении выше частично затемнены из соображений конфиденциальности.*
В таблице показаны IP-адреса в левом столбце и MAC-адреса в середине. Если таблица содержит два разных IP-адреса с одним и тем же MAC-адресом, возможно, вы подвергаетесь атаке отравления ARP.
В качестве примера предположим, что ваша таблица ARP содержит несколько разных адресов. Когда вы просматриваете его, вы можете заметить, что два IP-адреса имеют один и тот же физический адрес. Вы можете увидеть что-то подобное в своей ARP-таблице, если вас действительно отравили:
Интернет-адрес Физический адрес
Как видите, первый и третий MAC-адреса совпадают. Это указывает на то, что владелец IP-адреса 192.168.0.106, скорее всего, является злоумышленником.
Другие варианты
Wireshark можно использовать для обнаружения отравления ARP путем анализа пакетов, хотя шаги выходят за рамки этого руководства и, вероятно, их лучше предоставить тем, у кого есть опыт работы с программой.
Коммерческие детекторы отравления ARP, такие как XArp, упрощают этот процесс. Они могут уведомлять вас, когда начинается отравление ARP, что означает, что атаки обнаруживаются раньше, а ущерб может быть сведен к минимуму.
Как предотвратить отравление ARP
Вы можете использовать несколько методов для предотвращения отравления ARP, каждый из которых имеет свои положительные и отрицательные стороны. К ним относятся статические записи ARP, шифрование, VPN и анализ пакетов.
Статические записи ARP
Это решение сопряжено со значительными административными затратами и рекомендуется только для небольших сетей. Это включает в себя добавление записи ARP для каждой машины в сети на каждый отдельный компьютер.
Сопоставление машин с наборами статических IP- и MAC-адресов помогает предотвратить спуфинговые атаки, поскольку машины могут игнорировать ответы ARP. К сожалению, это решение может защитить вас только от более простых атак.
Шифрование
VPN
VPN может быть разумным средством защиты для частных лиц, но, как правило, не подходит для крупных организаций. Если только один человек устанавливает потенциально опасное соединение, например, использует общедоступный Wi-Fi в аэропорту, тогда VPN будет шифровать все данные, которые перемещаются между клиентом и выходным сервером. Это помогает обеспечить их безопасность, поскольку злоумышленник сможет увидеть только зашифрованный текст.
Это менее осуществимое решение на организационном уровне, поскольку VPN-подключения должны быть установлены между каждым компьютером и каждым сервером. Мало того, что это было бы сложно настроить и поддерживать, но шифрование и дешифрование в таком масштабе также снизило бы производительность сети.
Пакетные фильтры
Эти фильтры анализируют каждый пакет, отправляемый по сети. Они могут отфильтровывать и блокировать вредоносные пакеты, а также те, чьи IP-адреса вызывают подозрение. Фильтры пакетов также могут определить, якобы пакет пришел из внутренней сети, хотя на самом деле он исходит извне, что помогает снизить шансы на успешную атаку.
Защита вашей сети от отравления ARP
Если вы хотите, чтобы ваша сеть была защищена от угрозы отравления ARP, лучшим планом является сочетание вышеупомянутых инструментов предотвращения и обнаружения. Методы предотвращения, как правило, имеют недостатки в определенных ситуациях, поэтому даже самая безопасная среда может оказаться под угрозой.
Если также имеются активные средства обнаружения, вы узнаете об отравлении ARP, как только оно начнется. Если ваш сетевой администратор быстро отреагирует на предупреждение, вы, как правило, сможете остановить эти атаки до того, как будет нанесен значительный ущерб.
Протокол разрешения адресов (ARP) — это протокол без сохранения состояния, используемый для преобразования IP-адресов в MAC-адреса компьютера. Все сетевые устройства, которым необходимо обмениваться данными в сети, транслируют ARP-запросы в систему, чтобы узнать MAC-адреса других машин. Отравление ARP также известно как спуфинг ARP.
Вот как работает ARP —
Когда одной машине необходимо связаться с другой, она просматривает свою таблицу ARP.
Если MAC-адрес не найден в таблице, ARP_request передается по сети.
Все машины в сети будут сравнивать этот IP-адрес с MAC-адресом.
Если одна из машин в сети идентифицирует этот адрес, она ответит на ARP_request своим IP- и MAC-адресом.
Запрашивающий компьютер сохранит пару адресов в своей таблице ARP, и связь будет установлена.
Что такое спуфинг ARP?
Пакеты ARP могут быть подделаны для отправки данных на компьютер злоумышленника.
Спуфинг ARP создает большое количество поддельных пакетов запроса и ответа ARP, чтобы перегрузить коммутатор.
Коммутатор установлен в режим пересылки, и после того, как таблица ARP заполнена поддельными ответами ARP, злоумышленники могут перехватить все сетевые пакеты.
Злоумышленники заполняют кэш ARP целевого компьютера поддельными записями, что также известно как отравление. Отравление ARP использует доступ Man-in-the-Middle для отравления сети.
Что такое MITM?
Атака «человек посередине» (сокращенно MITM, MitM, MIM, MiM, MITMA) подразумевает активную атаку, при которой злоумышленник выдает себя за пользователя, создавая соединение между жертвами и отправляя сообщения между ними. В этом случае жертвы думают, что общаются друг с другом, но на самом деле коммуникацией управляет злоумышленник.
Существует третье лицо для контроля и мониторинга обмена данными между двумя сторонами. Некоторые протоколы, такие как SSL, служат для предотвращения атак такого типа.
Отравление ARP — упражнение
В этом упражнении мы использовали BetterCAP для выполнения отравления ARP в среде локальной сети с помощью рабочей станции VMware, на которой мы установили Kali Linux и инструмент Ettercap для прослушивания локального трафика в локальной сети.
Для этого упражнения вам понадобятся следующие инструменты —
Примечание. Эта атака возможна в проводных и беспроводных сетях. Вы можете выполнить эту атаку в локальной сети.
Шаг 1. Установите рабочую станцию VMware и операционную систему Kali Linux.
Шаг 2. Войдите в Kali Linux, используя имя пользователя и пароль «root, toor».
Шаг 3. Убедитесь, что вы подключены к локальной сети, и проверьте IP-адрес, введя команду ifconfig в терминале.
Шаг 4. Откройте терминал и введите «Ettercap –G», чтобы запустить графическую версию Ettercap.
Шаг 5. Теперь нажмите вкладку «обнюхивать» в строке меню, выберите «унифицированный обнюхивание» и нажмите «ОК», чтобы выбрать интерфейс. Мы собираемся использовать «eth0», что означает Ethernet-соединение.
Шаг 6. Теперь перейдите на вкладку «hosts» в строке меню и нажмите «Scan for hosts». Он начнет сканировать всю сеть в поисках активных хостов.
Шаг 7. Затем перейдите на вкладку «хосты» и выберите «список хостов», чтобы увидеть количество хостов, доступных в сети. Этот список также включает адрес шлюза по умолчанию. Мы должны быть осторожны при выборе целей.
Шаг 8. Теперь нам нужно выбрать цели. В MITM нашей целью является хост-компьютер, а маршрут будет адресом маршрутизатора для пересылки трафика. При атаке MITM злоумышленник перехватывает сеть и перехватывает пакеты. Итак, мы добавим жертву как «цель 1», а адрес маршрутизатора — как «цель 2».
В среде VMware шлюз по умолчанию всегда будет заканчиваться на «2», поскольку физическому компьютеру назначено «1».
Шаг 9. В этом сценарии наша цель — «192.168.121.129», а маршрутизатор — «192.168.121.2». Поэтому мы добавим цель 1 в качестве IP-адреса жертвы и цель 2 в качестве IP-адреса маршрутизатора.
Шаг 10. Теперь нажмите «MITM» и выберите «Отравление ARP». После этого установите флажок «Прослушивать удаленные подключения» и нажмите «ОК».
Шаг 11. Нажмите «Пуск» и выберите «Начать анализ». Это запустит отравление ARP в сети, что означает, что мы включили нашу сетевую карту в «неразборчивом режиме», и теперь можно перехватывать локальный трафик.
Шаг 12. Теперь пришло время увидеть результаты; если наша жертва заходила на какие-то сайты. Вы можете увидеть результаты на панели инструментов Ettercap.
Отравление ARP может привести к огромным потерям в корпоративной среде. Это место, где этичные хакеры назначаются для защиты сетей.
Помимо отравления ARP, существуют и другие атаки, например переполнение MAC-адресов, спуфинг MAC-адресов, отравление DNS, отравление ICMP и т. д., которые могут привести к значительным потерям в сети.
В следующей главе мы обсудим другой тип атаки, известный как отравление DNS.
Читайте также: