ARP spoofing hücumu

Kompüter şəbəkələrində ARP spoofing, ARP cache poisoning və ya ARP poison routing hücumu korlanmış (spoofed) ARP mesajlarını daxili şəbəkəyə göndərərək şəbəkəyə müdaxilə texnikasıdır. Bu hücumda əsas məqsəd hücumçunun MAC adresini başqa bir istifadəçinin İP -adresi ilə əlaqələndirməkdir (Məsələn: default-gateway). Default Gateway-ə olunan bu cür hücum bütün trafikin hücumçunun (attacker) cihazından keçməsinə şərait yaradır.

ARP spoofing hücumu şəbəkədə yönləndirmələri (routing) dəyişməyə və aradakı şəxs (man-in-the-middle) hücumlarını təşkil etməyə icazə verir. 

ARP spoofing hücumçuya şəbəkədəki bütün data hissəciklərini əldə etməyə, trafikdə dəyişiklik etməyə və ya trafiki dayandırmağa imkan verir. Bu hücum  digər hücumlar üşün daha çəx başlanğıc xarakter daşıyır. Məsələn, denial of service, man in the middle və ya session hijacking attacks.[1]

Bu hücum ancaq ARP protokolundan istifadə edilən şəbəkələrdə işlədilir.[2]

ARP təhlükəsizlik boşluqları

redaktə

ARP protokolu internet təbəqəsi adreslərinin link təbəqə adreslərinə çevrilməsində işlədilən geniş yayılmış bir protokoldur.[note 1]

Şəbəkədə Internet Protocol (IP) dataqram bir istifadəçidən başqa istifadəçiyə göndəriləndə hədəf İP adresə uyğun MAC adres tapılır ki, data link səviyyədə məlumat ötürülməsi olsun.[2] Əgər şəbəkədə istifadəçinin İP adresi bilinir, MAC adresi bilinmirsə, radioyayım paketi (broadcast packet) göndərilir. Bu paket ARP sorğu adlanır. Bu sorğuya cavab olaraq, ARP reply (cavab) göndərilir və paketin daxilində İP-yə uyğun MAC adres də mövcud olur.

ARP cavablar şəbəkədəki hər kəs tərəfindən avtomatik olaraq alına bildiyi üçün sahibsiz protokol adlanır (stateless protocol). ARP cavablar aktiv olma müddəti bitmədən yeni cavablar tərəfindən üstələnə bilir. ARP protokolunun doğrulanması üçün hər hansı bir metodun olmaması ARP spoofing hücumları üçün təhlükəsizlik baxımından boşluqların yaranması ilə nəticələnir. [1][2]

ARP spoofing hücumu analizi 

redaktə

ARP spoofing hücumunun əsas prinsipi qeyd olunan boşluqlara əsasən şəbəkəyə korlanmış (spoofed) ARP mesajların göndərilməsidir. ARP spoofing hücumları ya şəbəkədəki istifadəçilərin kompüterlerindən ya da hücumçunun öz cihazlarından edilə bilər. 

Ümumi olaraq hücumun məqsədi hücumçunun MAC adresini hücum edilən istifadəçinin İP adresi ilə əlaqələndirməkdir, bununla da hücum edilən istifadəçiyə göndərilən trafik hücumçu tərəfindən ələ keçirilir. Hücumçu paketləri gözdən keçirir , trafikin üzərində dəyişiklik edərək əsl default gateway-ə (çıxış qapısı) göndərə bilər (man-in-the-middle-attack) və ya DOS hücum edərək bütün trafikin və ya trafikin bir hissəsinin silinməsinə səbəb ola bilər.

Müdafiə üsulları

redaktə

Statik ARP girişləri

redaktə

İP-yə uyğun MACların təyin edilməsi statik olaraq daxil edildikdə, istifadəçi cihazları başqa ARP cavab paketlərini ləğv edir.[3] Əgər əməliyyat sisteminin statik girişləri düzgün çalışarsa ,bu cür təhlükəsizlik metodları ARP hücumlarının qarşısını ala bilər., amma bu üsul şəbəkəni məşğul edərək, şəbəkə keyfiyyətini azaldacaq.

ARP spoofing tapma proqramları

redaktə

ARP spoofing hücumları ümumi olaraq müıyyın sertifikatları və ya ikili-ARP cavabları yoxlama ilə aşkar edilir. Sertifikikatsız ARP cavabları bu vasitə ilə bloklanır. Bu üsul DHCP serverlərlə də birləşdirilə bilər ki, bununla da həm dinamik həm də statik İP adreslər sertifikatlana bilər. Bu üsul həmçinin istifadəçilərin cihazlarında, və ya Ethernet switchlərdə və başqa şəbəkə cihazlarında tətbiq oluna bilər. Bir MAC adres-ə birçox İP adresin verilməsi də ARP spoofing hücumu kimi dəyərləndirilə bilər, baxmayaraq ki bu cür tənzimləmənin qanuni istifadəsi mövcuddur. Ən passiv yanaşma olaraq, şəbəkə cihazı vasitəsilə ARP cavabların dinlənməsi, ARP girişlər dəyişərsə email vasitəsiylə bildiriş göndərilməsidir.[citation needed]

Əməliyyat sistemi təhlükəsizliyi

redaktə

Əməliyyat Sistemləri bu cür hücumlara müxtəlif reaksiyalar verə bilir, Məs; Linux bütün istənməyən cavabları rədd edir, amma istifadəçilər sorğuları görə bilirlər. Solaris girişlərdəki yeniləmələri girişlərin vaxtı bitdikdən sonra qəbul edirlər. Microsoft Windows-da, ARP sorğular yaddaşı tənzimləmələri aşağıdakı ünvandan edilir,     HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters, ArpCacheLife, ArpCacheMinReferenceLife, ArpUseEtherSNAP, ArpTRSingleRoute, ArpAlwaysSourceRoute, ArpRetryCount.[4]

AntiARP[5] Windows-bazalı sistemlərdə kernel səviyyədə təhlükəsizliyi təmin edir. ArpStar kernel 2.6 Linux modul üçün və Linksys routerlər üçün etibarsız paketlərin silinməsində və paketlərin düzəldilməsində istifadə edilir.

Sertifikatın ən sadə forması statik girişlərdən istifadə olunmasıdır.. Bu halda sade spoofing hücumlar baş verə bilər və bu böyük şəbəkədə hiss edilmir. Hər bir şəbəkə cihazında şəbəkədəki n sayda cihaz qədər ARP girişlər mövcud olur.

İcazəli istifadə

redaktə

ARP spoofing hücumunda istifadə olunan texnikalar həmçinin şəbəkə servislərinin əvəz olunmasında istifadə oluna bilər. Məsələn, bəzi proqramlar lazımsız ARP sorğuların backup serverlərə əlavə edilməsinin qarşısını ala bilir. [6] [7]

ARP spoofing developerlar tərəfindən 2 istifadəçinin İP trafikinin tınzimlənməsində istifadə olunur, əgər A və B istifadəçiləri ethernet süitch üzərindən əlaqə saxlayırlarsa, onların trafiki 3-cü şəxs istifadəçi B tərəfindən görülə bilməz. Developer A-nı M istifadəçinin MAC adresini alacaq şəkildə və M istifadəçisini paketləri göndərəcəyi şəkildə tənzimləyir. Bu halda M aradakı-şəxs hücumunda olduğu kimi trafiki izləyə bilər.

Name OS GUI Free Protection Per interface Active/passive
Agnitum Outpost Firewall Windows passive
AntiARP Windows active+passive
Antidote Linux passive
Arp_Antidote Linux passive
Arpalert Linux passive
ArpON Linux active+passive
ArpGuard Mac active+passive
ArpStar Linux passive
Arpwatch Linux passive
ArpwatchNG Linux passive
Colasoft Capsa Windows no detection, only analysis with manual inspection
cSploit[8] Android (rooted only) passive
Prelude IDS
remarp Linux passive
Snort Windows/Linux passive
Winarpwatch Windows passive
XArp[9] Windows, Linux active + passive
Seconfig XP Windows 2000/XP/2003 only only activates protection built-in some versions of Windows
zANTI Android (rooted only) passive
  1. ARP was defined by RFC 826 in 1982.

Həmçinin bax

redaktə
  • DNS spoofing
  • IP address spoofing
  • MAC spoofing
  • Proxy ARP

İstinadlar

redaktə
  1. 1 2 Ramachandran, Vivek & Nandi, Sukumar. Detecting ARP Spoofing: An Active Technique // Jajodia, Suchil & Mazumdar, Chandan (redaktorlar ). Information systems security: first international conference, ICISS 2005, Kolkata, India, December 19-21, 2005 : proceedings. Birkhauser. 2005. səh. 239. ISBN 978-3-540-30706-8. 2021-04-17 tarixində arxivləşdirilib. İstifadə tarixi: 2016-04-28.
  2. 1 2 3 Lockhart, Andrew. Network security hacks. O'Reilly. 2007. səh. 184. ISBN 978-0-596-52763-1. 2016-12-23 tarixində arxivləşdirilib. İstifadə tarixi: 2016-04-28.
  3. Lockhart, Andrew. Network security hacks. O'Reilly. 2007. səh. 186. ISBN 978-0-596-52763-1. 2014-08-20 tarixində arxivləşdirilib. İstifadə tarixi: 2016-04-28.
  4. "Address Resolution Protocol". 2017-08-26 tarixində arxivləşdirilib. İstifadə tarixi: 2016-04-28.
  5. "AntiARP". 2011-06-06 tarixində orijinalından arxivləşdirilib. İstifadə tarixi: 2016-04-28.
  6. "OpenBSD manpage for CARP (4)". 2011-04-22 tarixində arxivləşdirilib. İstifadə tarixi: 2016-04-28., retrieved 2013-01-04
  7. Simon Horman. "Ultra Monkey: IP Address Takeover". 2012-11-18 tarixində orijinalından arxivləşdirilib. İstifadə tarixi: 2016-04-28.
  8. "cSploit". tux_mind. 2019-03-12 tarixində arxivləşdirilib. İstifadə tarixi: 2015-10-17.
  9. "XArp". 2020-06-16 tarixində arxivləşdirilib. İstifadə tarixi: 2016-04-28.

Xarici Linklər

redaktə