Non si verifica un conflitto IP durante lo spoofing ARP?

9

Sto giocando con attacchi di Ettercap e ARP spoofing . Ho notato che i computer coinvolti nel mio attacco non stanno visualizzando messaggi che indicano che si è verificato un conflitto IP.

Non è questo il caso dello spoofing ARP? Quindi due (o più) computer condivideranno lo stesso IP. Quando si verifica un conflitto IP?

I computer che ho spoof sono macchine Windows 7 e Ubuntu.

    
posta Rox 25.08.2012 - 14:03
fonte

3 risposte

7

Raggiungi le radici! Se sai cosa fa ARP , le cose saranno più chiare.

In una sottorete (macchine collegate allo stesso set di hub e switch), le macchine comunicano tra loro con gli indirizzi MAC: l'indirizzo MAC identifica in modo univoco ogni scheda Ethernet / WiFi. Le macchine, a priori , non conoscono gli indirizzi MAC; conoscono solo gli indirizzi IP. Quindi, quando la macchina A vuole inviare un pacchetto alla macchina B , invia una trama broadcast seguendo il protocollo ARP; il pacchetto dice: "hey, qualcuno conosce l'indirizzo MAC di B "? Se qualcuno risponde con le informazioni (" B ha l'indirizzo MAC xx: xx: xx: xx: xx: xx") allora A sarà in grado di inviare i suoi dati a < em> B .

Per accelerare il processo, A mantiene una cache di mappature note IP-to-MAC, ma è pronta per rimuovere le voci dalla cache quando l'informazione non viene rinnovata (il rinnovo delle informazioni avviene quando un il pacchetto arriva a A , taggato con l'indirizzo IP di B come sorgente e, a livello ethernet, usa l'indirizzo MAC di B ) . Le voci della cache ARP non devono essere troppo longevi perché B è permesso di cambiare hardware (nel caso in cui la scheda di rete ethernet di B sia sostituita, il nuovo adattatore avrà un indirizzo MAC distinto, ma può assumere lo stesso indirizzo IP).

Gli altri utenti di ARP sono switch . Gli switch non emettono pacchetti, ma osservano molto. Il punto di un interruttore, al contrario di un più semplice hub , è quello di ottimizzare le cose inviando pacchetti solo su cavi rilevanti, invece di trasmettere tutti i pacchetti sulla sottorete completa. Un interruttore "sa" che una determinata macchina (ad esempio un indirizzo MAC) si trova all'altra estremità di un collegamento specifico osservando il traffico (cioè lo switch ha notato che tutti i pacchetti con quell'indirizzo MAC come origine provengono da un dato collegamento). Lo switch mantiene quindi un collegamento MAC- > in una tabella interna, che è confusamente (e inopportunamente) chiamato anche "cache ARP".

Spoofing è il termine che alcune persone hanno escogitato per designare ciò che è altrimenti noto come falso , quando nel contesto della sicurezza della rete (per qualche ragione, le parole perfettamente utilizzabili dei secoli precedenti non sembrano mai essere abbastanza buone per la tecnologia-dipendente). ARP spoofing riguarda l'invio di pacchetti che sono falsificati a livello ARP, ovvero pacchetti che ingannano altri sistemi per quanto riguarda le mappature che coinvolgono ARP (cioè le cache ARP che mantengono le macchine e gli switch). L'attaccante può ottenere alcuni vantaggi così facendo; per esempio, può convincere un interruttore a inviare lui alcuni pacchetti che altrimenti sarebbero stati inviati ad un'altra macchina su un altro collegamento. Questo tipo di attacco è noto anche come "avvelenamento della cache ARP" perché alla fine riempie alcune cache ARP con voci errate.

Un conflitto IP è quando due macchine, con indirizzi MAC distinti , vogliono assumere lo stesso IP. Quando viene inviata una richiesta ARP ("qual è l'indirizzo MAC di B "), le macchine entrambe risponderanno, con informazioni contrastanti. Il richiedente ( A ) riceve entrambe le risposte e può avvisare del problema: due mapping simultanei con uno IP e due indirizzi MAC. Lo spoofing ARP prova a fare qualcosa di diverso: due indirizzi IP (o due link) che mappano all'indirizzo uno MAC. L'attacco ARP di successo non è realmente distinguibile da una macchina che ha cambiato il suo indirizzo IP, qualcosa che, in generale, è normale (quando le macchine ottengono gli indirizzi IP dinamicamente con DHCP , il loro indirizzo IP può cambiare di volta in volta) e quindi non attiva alcun avviso speciale.

    
risposta data 25.08.2012 - 19:44
fonte
5

In caso di avvelenamento ARP stai avvelenando le tabelle ARP. Se il computer 10.1.1.1 deve raggiungere il computer 10.1.1.2, mantiene l'indirizzo MAC nelle sue tabelle ARP. ARP è un protocollo fidato , il che significa che quando un computer risponde a una richiesta ARP, non c'è nulla che richiede che la sua risposta sia corretta e nessun meccanismo per verificarlo è corretto.

Quindi ecco il piano di gioco.

  1. La vittima invia una richiesta arp per 10.1.1.1.
  2. Il legittimo 10.1.1.1 risponde con il suo indirizzo MAC, ma io (l'attaccante) invio 10 milioni di risposte.
  3. Finché 1 delle mie risposte ARP viene inviato dopo il legittimo, l'indirizzo MAC dell'attaccante verrà inserito nella tabella ARP della vittima.

Una cosa interessante di ARP è che la vittima non ha bisogno di inviare una richiesta ARP per avvelenarle. Come ho detto, l'ARP li sta avvelenando.

Spoofing dell'indirizzo IP Seleziono un indirizzo IP già esistente sulla mia rete. Altri host avranno problemi a stabilire una connessione TCP. Per esempio. L'host legittimo che l'utente malintenzionato sta effettuando lo spoofing tenta di accedere a un server web. L'host legittimo invia un SYN, il server web legittimo invia un ACK a cui risponde sia l'attaccante che l'host legittimo. L'host legittimo risponde con un SYN-ACK come dovrebbe. L'autore dell'attacco risponde con un RST poiché l'ACK è inatteso. Rende davvero difficile (impossibile) che un indirizzo IP venga falsificato per utilizzare qualsiasi servizio TCP.

Ho problemi a interpretare la tua domanda (sono pessima da leggere) ma spero che questo aiuti.

    
risposta data 25.08.2012 - 14:44
fonte
2

Lo spoofing ARP NON è lo spoofing dell'indirizzo IP.

Lo spoofing di ARP è associato a un indirizzo MAC con un indirizzo IP esistente. L'exploit prevede l'invio di falsi pacchetti di risposta ARP che associeranno l'indirizzo MAC degli hacker con un indirizzo IP legittimo. Ciò implica l'utilizzo del fatto che il protocollo ARP è senza stato: non tiene traccia di eventuali modifiche. I nuovi pacchetti di risposta ARP sovrascriveranno le vecchie voci ARP nella cache.

A qualsiasi host nella rete, vedranno solo un indirizzo IP associato a un indirizzo MAC (il MAC degli hacker).

    
risposta data 25.08.2012 - 14:05
fonte

Leggi altre domande sui tag