ARP spoofing hücumu
Kompüter şəbəkələrində ARP spoofing, ARP cache poisoning və ya ARP poison routing hücumu korlanmış (spoofed) ARP mesajlarını daxili şəbəkəyə göndərərək şəbəkəyə müdaxilə texnikasıdır. Bu hücumda əsas məqsəd hücumçunun MAC adresini başqa bir istifadəçinin İP -adresi ilə əlaqələndirməkdir (Məsələn: default-gateway). Default Gateway-ə olunan bu cür hücum bütün trafikin hücumçunun (attacker) cihazından keçməsinə şərait yaradır.
ARP spoofing hücumçuya şəbəkədəki bütün data hissəciklərini əldə etməyə, trafikdə dəyişiklik etməyə və ya trafiki dayandırmağa imkan verir. Bu hücum digər hücumlar üşün daha çəx başlanğıc xarakter daşıyır. Məsələn, denial of service, man in the middle və ya session hijacking attacks.[1]
Bu hücum ancaq ARP protokolundan istifadə edilən şəbəkələrdə işlədilir.[2]
ARP təhlükəsizlik boşluqları[redaktə | mənbəni redaktə et]
ARP protokolu internet təbəqəsi adreslərinin link təbəqə adreslərinə çevrilməsində işlədilən geniş yayılmış bir protokoldur.[note 1]
Şəbəkədə Internet Protocol (IP) dataqram bir istifadəçidən başqa istifadəçiyə göndəriləndə hədəf İP adresə uyğun MAC adres tapılır ki, data link səviyyədə məlumat ötürülməsi olsun.[2] Əgər şəbəkədə istifadəçinin İP adresi bilinir, MAC adresi bilinmirsə, radioyayım paketi (broadcast packet) göndərilir. Bu paket ARP sorğu adlanır. Bu sorğuya cavab olaraq, ARP reply (cavab) göndərilir və paketin daxilində İP-yə uyğun MAC adres də mövcud olur.
ARP cavablar şəbəkədəki hər kəs tərəfindən avtomatik olaraq alına bildiyi üçün sahibsiz protokol adlanır (stateless protocol). ARP cavablar aktiv olma müddəti bitmədən yeni cavablar tərəfindən üstələnə bilir. ARP protokolunun doğrulanması üçün hər hansı bir metodun olmaması ARP spoofing hücumları üçün təhlükəsizlik baxımından boşluqların yaranması ilə nəticələnir. [1][2]
ARP spoofing hücumu analizi [redaktə | mənbəni redaktə et]
ARP spoofing hücumunun əsas prinsipi qeyd olunan boşluqlara əsasən şəbəkəyə korlanmış (spoofed) ARP mesajların göndərilməsidir. ARP spoofing hücumları ya şəbəkədəki istifadəçilərin kompüterlerindən ya da hücumçunun öz cihazlarından edilə bilər.
Ümumi olaraq hücumun məqsədi hücumçunun MAC adresini hücum edilən istifadəçinin İP adresi ilə əlaqələndirməkdir, bununla da hücum edilən istifadəçiyə göndərilən trafik hücumçu tərəfindən ələ keçirilir. Hücumçu paketləri gözdən keçirir , trafikin üzərində dəyişiklik edərək əsl default gateway-ə (çıxış qapısı) göndərə bilər (man-in-the-middle-attack) və ya DOS hücum edərək bütün trafikin və ya trafikin bir hissəsinin silinməsinə səbəb ola bilər.
Müdafiə üsulları[redaktə | mənbəni redaktə et]
Statik ARP girişləri[redaktə | mənbəni redaktə et]
İP-yə uyğun MACların təyin edilməsi statik olaraq daxil edildikdə, istifadəçi cihazları başqa ARP cavab paketlərini ləğv edir.[3] Əgər əməliyyat sisteminin statik girişləri düzgün çalışarsa ,bu cür təhlükəsizlik metodları ARP hücumlarının qarşısını ala bilər., amma bu üsul şəbəkəni məşğul edərək, şəbəkə keyfiyyətini azaldacaq.
ARP spoofing tapma proqramları[redaktə | mənbəni redaktə et]
ARP spoofing hücumları ümumi olaraq müıyyın sertifikatları və ya ikili-ARP cavabları yoxlama ilə aşkar edilir. Sertifikikatsız ARP cavabları bu vasitə ilə bloklanır. Bu üsul DHCP serverlərlə də birləşdirilə bilər ki, bununla da həm dinamik həm də statik İP adreslər sertifikatlana bilər. Bu üsul həmçinin istifadəçilərin cihazlarında, və ya Ethernet switchlərdə və başqa şəbəkə cihazlarında tətbiq oluna bilər. Bir MAC adres-ə birçox İP adresin verilməsi də ARP spoofing hücumu kimi dəyərləndirilə bilər, baxmayaraq ki bu cür tənzimləmənin qanuni istifadəsi mövcuddur. Ən passiv yanaşma olaraq, şəbəkə cihazı vasitəsilə ARP cavabların dinlənməsi, ARP girişlər dəyişərsə email vasitəsiylə bildiriş göndərilməsidir.[citation needed]
Əməliyyat sistemi təhlükəsizliyi[redaktə | mənbəni redaktə et]
Əməliyyat Sistemləri bu cür hücumlara müxtəlif reaksiyalar verə bilir, Məs; Linux bütün istənməyən cavabları rədd edir, amma istifadəçilər sorğuları görə bilirlər. Solaris girişlərdəki yeniləmələri girişlərin vaxtı bitdikdən sonra qəbul edirlər. Microsoft Windows-da, ARP sorğular yaddaşı tənzimləmələri aşağıdakı ünvandan edilir, HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters, ArpCacheLife, ArpCacheMinReferenceLife, ArpUseEtherSNAP, ArpTRSingleRoute, ArpAlwaysSourceRoute, ArpRetryCount.[4]
AntiARP[5] Windows-bazalı sistemlərdə kernel səviyyədə təhlükəsizliyi təmin edir. ArpStar kernel 2.6 Linux modul üçün və Linksys routerlər üçün etibarsız paketlərin silinməsində və paketlərin düzəldilməsində istifadə edilir.
Sertifikatın ən sadə forması statik girişlərdən istifadə olunmasıdır.. Bu halda sade spoofing hücumlar baş verə bilər və bu böyük şəbəkədə hiss edilmir. Hər bir şəbəkə cihazında şəbəkədəki n sayda cihaz qədər ARP girişlər mövcud olur.
İcazəli istifadə[redaktə | mənbəni redaktə et]
ARP spoofing hücumunda istifadə olunan texnikalar həmçinin şəbəkə servislərinin əvəz olunmasında istifadə oluna bilər. Məsələn, bəzi proqramlar lazımsız ARP sorğuların backup serverlərə əlavə edilməsinin qarşısını ala bilir. [6] [7]
ARP spoofing developerlar tərəfindən 2 istifadəçinin İP trafikinin tınzimlənməsində istifadə olunur, əgər A və B istifadəçiləri ethernet süitch üzərindən əlaqə saxlayırlarsa, onların trafiki 3-cü şəxs istifadəçi B tərəfindən görülə bilməz. Developer A-nı M istifadəçinin MAC adresini alacaq şəkildə və M istifadəçisini paketləri göndərəcəyi şəkildə tənzimləyir. Bu halda M aradakı-şəxs hücumunda olduğu kimi trafiki izləyə bilər.
Tools[redaktə | mənbəni redaktə et]
| Name | OS | GUI | Free | Protection | Per interface | Active/passive |
| Agnitum Outpost Firewall | Windows | passive | ||||
| AntiARP | Windows | active+passive | ||||
| Antidote | Linux | passive | ||||
| Arp_Antidote | Linux | passive | ||||
| Arpalert | Linux | passive | ||||
| ArpON | Linux | active+passive | ||||
| ArpGuard | Mac | active+passive | ||||
| ArpStar | Linux | passive | ||||
| Arpwatch | Linux | passive | ||||
| ArpwatchNG | Linux | passive | ||||
| Colasoft Capsa | Windows | no detection, only analysis with manual inspection | ||||
| cSploit[8] | Android (rooted only) | passive | ||||
| Prelude IDS | ||||||
| remarp | Linux | passive | ||||
| Snort | Windows/Linux | passive | ||||
| Winarpwatch | Windows | passive | ||||
| XArp[9] | Windows, Linux | active + passive | ||||
| Seconfig XP | Windows 2000/XP/2003 only | only activates protection built-in some versions of Windows | ||||
| zANTI | Android (rooted only) | passive |
Notlar[redaktə | mənbəni redaktə et]
Həmçinin bax[redaktə | mənbəni redaktə et]
- DNS spoofing
- IP address spoofing
- MAC spoofing
- Proxy ARP
İstinadlar[redaktə | mənbəni redaktə et]
- ↑ 1 2 Ramachandran, Vivek & Nandi, Sukumar. Detecting ARP Spoofing: An Active Technique // Jajodia, Suchil & Mazumdar, Chandan (redaktorlar). Information systems security: first international conference, ICISS 2005, Kolkata, India, December 19-21, 2005 : proceedings. Birkhauser. 2005. səh. 239. ISBN 978-3-540-30706-8. 2021-04-17 tarixində arxivləşdirilib. İstifadə tarixi: 2016-04-28.
- ↑ 1 2 3 Lockhart, Andrew. Network security hacks. O'Reilly. 2007. səh. 184. ISBN 978-0-596-52763-1. 2016-12-23 tarixində arxivləşdirilib. İstifadə tarixi: 2016-04-28.
- ↑ Lockhart, Andrew. Network security hacks. O'Reilly. 2007. səh. 186. ISBN 978-0-596-52763-1. 2014-08-20 tarixində arxivləşdirilib. İstifadə tarixi: 2016-04-28.
- ↑ "Address Resolution Protocol". 2017-08-26 tarixində arxivləşdirilib. İstifadə tarixi: 2016-04-28.
- ↑ "AntiARP". 2011-06-06 tarixində orijinalından arxivləşdirilib. İstifadə tarixi: 2016-04-28.
- ↑ "OpenBSD manpage for CARP (4)". 2011-04-22 tarixində arxivləşdirilib. İstifadə tarixi: 2016-04-28., retrieved 2013-01-04
- ↑ Simon Horman. "Ultra Monkey: IP Address Takeover". 2012-11-18 tarixində orijinalından arxivləşdirilib. İstifadə tarixi: 2016-04-28.
- ↑ "cSploit". tux_mind. 2019-03-12 tarixində arxivləşdirilib. İstifadə tarixi: 2015-10-17.
- ↑ "XArp". 2020-06-16 tarixində arxivləşdirilib. İstifadə tarixi: 2016-04-28.
Xarici Linklər[redaktə | mənbəni redaktə et]
- Steve Gibson. "ARP Cache Poisoning". GRC. 2005-12-11.