Mga Tool na Gagamitin sa ARP Spoofing Attack
Mayroong maraming mga tool tulad ng Arpspoof, Cain & Abel, Arpoison, at Ettercap na magagamit upang simulan ang ARP spoofing.
Narito ang screenshot upang ipakita kung paano maipapadala ng mga nabanggit na tool ang kahilingan sa ARP nang may pagtatalo:
ARP Spoofing Attack sa Mga Detalye
Tingnan natin ang ilang mga screenshot at unawain ang ARP spoofing sunud-sunod:
Hakbang 1 :
Ang inaasahan ng umaatake ay makuha ang tugon ng ARP upang malaman nito ang MAC address ng biktima. Ngayon, kung pupunta pa tayo sa ibinigay na screenshot, makikita natin na mayroong 2 ARP na tugon mula sa 192.168.56.100 at 192.168.56.101 na mga IP address. Pagkatapos nito, ina-update ng biktima [192.168.56.100 at 192.168.56.101] ang ARP cache nito ngunit hindi nag-query pabalik. Kaya, ang entry sa ARP cache ay hindi kailanman naitatama.
Ang ARP request packet number ay 137 at 138. Ang ARP response packet number ay 140 at 143.
Kaya, nahanap ng umaatake ang kahinaan sa pamamagitan ng paggawa ng ARP spoofing. Ito ay tinatawag na 'entry of attack'.
Hakbang 2:
Ang mga numero ng packet ay 141, 142 at 144, 146.
Mula sa nakaraang aktibidad, ang umaatake ay mayroon na ngayong mga wastong MAC address na 192.168.56.100 at 192.168.56.101. Ang susunod na hakbang para sa umaatake ay ipadala ang ICMP packet sa IP address ng biktima. At makikita natin mula sa ibinigay na screenshot na nagpadala ang attacker ng ICMP packet at nakakuha ng ICMP reply mula sa 192.168.56.100 at 192.168.56.101. Nangangahulugan ito na ang parehong mga IP address [192.168.56.100 at 192.168.56.101] ay maaabot.
Hakbang 3:
Makikita natin na mayroong huling kahilingan sa ARP para sa 192.168.56.101 IP address para kumpirmahin na aktibo ang host at mayroon itong parehong MAC address na 08:00:27:dd:84:45.
Ang ibinigay na numero ng packet ay 3358.
Hakbang 4:
May isa pang kahilingan at tugon sa ICMP na may 192.168.56.101 IP address. Ang mga packet number ay 3367 at 3368.
Maaari nating isipin mula rito na tina-target ng attacker ang biktima na ang IP address ay 192.168.56.101.
Ngayon, ang anumang impormasyon na nagmumula sa IP address na 192.168.56.100 o 192.168.56.101 hanggang IP 192.168.56.1 ay umaabot sa MAC address attacker na ang IP address ay 192.168.56.1.
Hakbang 5:
Kapag may access na ang umaatake, sinusubukan nitong magtatag ng aktwal na koneksyon. Mula sa ibinigay na screenshot, makikita natin na ang pagtatatag ng koneksyon sa HTTP ay sinusubukan mula sa umaatake. Mayroong koneksyon sa TCP sa loob ng HTTP na nangangahulugan na dapat mayroong 3-WAY na pagkakamay. Ito ang mga packet exchange para sa TCP:
SYN -> SYN+ACK -> ACK.
Mula sa ibinigay na screenshot, makikita natin na muling sinusubukan ng attacker ang SYN packet nang maraming beses sa iba't ibang port. Ang frame number na 3460 hanggang 3469. Ang packet number na 3469 SYN ay para sa port 80 na HTTP.
Hakbang 6:
Ang unang matagumpay na TCP handshake ay ipinapakita sa mga sumusunod na packet number mula sa ibinigay na screenshot:
4488: SYN frame mula sa attacker
4489: SYN+ACK frame mula sa 192.168.56.101
4490: ACK frame mula sa attacker
Hakbang 7:
Sa sandaling matagumpay ang koneksyon ng TCP, magagawa ng umaatake ang koneksyon sa HTTP [frame number 4491 hanggang 4495] na sinusundan ng koneksyon sa SSH [frame number 4500 hanggang 4503].
Ngayon, ang pag-atake ay may sapat na kontrol upang magawa nito ang sumusunod:
- Pag-atake ng pag-hijack ng session
- Man in the middle attack [MITM]
- Pag-atake ng Denial of Service (DoS).
Paano Pigilan ang ARP Spoofing Attack
Narito ang ilang mga proteksiyon na maaaring gawin upang maiwasan ang pag-atake ng spoofing ng ARP:
- Paggamit ng 'Static ARP' na mga entry
- ARP spoofing detection at prevention software
- Pag-filter ng pakete
- Mga VPN, atbp.
Gayundin, maaari naming pigilan itong mangyari muli kung gagamit kami ng HTTPS sa halip na HTTP at gagamitin namin ang SSL (Secure Socket layer) transport layer security. Ito ay upang ang lahat ng mga komunikasyon ay naka-encrypt.
Konklusyon
Mula sa artikulong ito, nakakuha kami ng ilang pangunahing ideya sa pag-atake ng spoofing ng ARP at kung paano nito maa-access ang anumang mapagkukunan ng system. Gayundin, alam na natin ngayon kung paano ihinto ang ganitong uri ng pag-atake. Ang impormasyong ito ay tumutulong sa administrator ng network o sinumang gumagamit ng system na protektahan mula sa pag-atake ng panggagaya ng ARP.