Como o envenenamento ARP funciona se o endereço IP estiver errado?

Navegue suas respostas
3

O envenenamento de TLDR ARP não altera o IP dst na tabela, então por que a falsificação do MAC sob outro endereço IP ajuda a redirecionar o tráfego?

Qualquer vídeo que eu encontre explica que o objetivo do envenenamento por ARP é enviar uma mensagem não solicitada para 'sobrescrever' o host & tabela ARP do roteador para que o endereço MAC do invasor MitM seja associado a ambos, de modo que pareçam assim:

Vítima: aa: bb: cc: dd: ee: ff (192.168.1.100) Roteador: aa: bb: cc: dd: ee: ff (192.168.1.1) Máquina MitM: aa: bb: cc: dd: ee: ff (192.168.1.199)

Desta forma, ambos acabam enviando para o Man in the Middle, que então encaminhará os endpoints 192.168.1.199 e 192.168.1.1, que na verdade tinham outro endereço MAC.

... Minha pergunta é como isso funciona? Se você estiver enganando esses dispositivos para associar o MAC incorreto ao IP correto, como o tráfego é realmente redirecionado? O que quero dizer é como vejo isso:

Vítima > pacote para roteador em 192.168.1.1 > chega ao roteador e abre o pacote para descobrir que o MAC está errado?

    
por SomeRandomGuy12345 16.07.2015 / 08:53

3 respostas

1

Como o envenenamento ARP funciona se o endereço IP estiver errado?

É normalmente chamado de ARP Spoofing, mas também conhecido como ARP Poison Routing (APR) ou envenenamento por cache ARP.

ARP Poisoning doesn't change the IP destination in the table so why does spoofing the MAC under another IP address help to redirect the traffic?

  • Hubs, Switches e o lado Lan dos dados de rota do roteador usando o endereço MAC contido no frame de dados Ethernet.

  • Durante o ataque, as entradas da tabela ARP para o endereço IP da vítima conterão o endereço MAC do invasor.

  • Quando qualquer dado for enviado para ou a partir do endereço IP da vítima, ele será roteado para o endereço MAC do invasor.

The goal of ARP poisoning is to send an unsolicited message to 'overwrites' the host's & router's ARP table so that the MitM attacker's MAC address is associated with both.

Não, isso não está correto.

  • As entradas da tabela ARP para o endereço IP da vítima conterão o endereço MAC do invasor.
  • As entradas da tabela ARP para o IP do roteador não são alteradas.
  • O invasor pode optar por encaminhar o tráfego do endereço IP da vítima para o roteador, mas não precisa fazê-lo.

Veja abaixo O que acontece próximo para mais informações.

O que é ARP Spoofing?

ARP spoofing is a type of attack in which a malicious actor sends falsified ARP (Address Resolution Protocol) messages over a local area network. This results in the linking of an attacker’s MAC address with the IP address of a legitimate computer or server on the network.

Once the attacker’s MAC address is connected to an authentic IP address, the attacker will begin receiving any data that is intended for that IP address.

ARP spoofing can enable malicious parties to intercept, modify or even stop data in-transit. ARP spoofing attacks can only occur on local area networks that utilize the Address Resolution Protocol.

Veracode da fonte ARP Spoofing

Como isso funciona?

ARP spoofing attacks typically follow a similar progression. The steps to an ARP spoofing attack usually include:

  1. The attacker opens an ARP spoofing tool and sets the tool’s IP address to match the IP subnet of a target. Examples of popular ARP spoofing software include Arpspoof, Cain & Abel, Arpoison and Ettercap.

  2. The attacker uses the ARP spoofing tool to scan for the IP and MAC addresses of hosts in the target’s subnet.

  3. The attacker chooses its target and begins sending ARP packets across the LAN that contain the attacker’s MAC address and the target’s IP address.

  4. As other hosts on the LAN cache the spoofed ARP packets, data that those hosts send to the victim will go to the attacker instead. From here, the attacker can steal data or launch a more sophisticated follow-up attack.

Veracode da fonte ARP Spoofing

O que acontece depois?

The attacker may choose to inspect the packets (spying), while forwarding the traffic to the actual default gateway to avoid discovery, modify the data before forwarding it (man-in-the-middle attack), or launch a denial-of-service attack by causing some or all of the packets on the network to be dropped.

Fonte Wikipedia ARP spoofing

Outras leituras

por 16.07.2015 / 13:13
0

Por exemplo, em uma LAN conectada por um switch, o switch não decapsulará o pacote até a Camada de Rede (Camada 3 do OSI). Ele só irá verificar o MAC de sua tabela CAM e encaminhar o pacote na porta apropriada. É por isso que o IP não é verificado, especialmente quando a tabela CAM do switch já está preenchida.

    
por 16.07.2015 / 10:10
0

Quando o pacote é enviado na rede da camada de enlace, ele é enviado para o endereço MAC do invasor, então é o invasor que o recebe, não o destinatário pretendido.

Vamos tornar isso um pouco mais concreto, especificando a rede da camada de link. Vamos dar Ethernet por exemplo. NICs Ethernet só conhecem sua própria camada (Ethernet). Eles não sabem o que é IP, então eles não têm idéia de como esses pacotes podem ser endereçados na camada IP. Isso é tudo um monte de bytes de carga útil opaca para as NICs Ethernet. O NIC remetente apenas sabe que foi entregue um quadro para aa: bb: cc: dd: ee: ff, então ele coloca o endereço de destino nele e o transmite. Apenas o NIC do atacante é programado para examinar quadros endereçados a aa: bb: cc: dd: ee: ff, portanto, somente o NIC do invasor recebe o quadro passando-o para a pilha de rede do sistema operacional do host.

    
por 16.07.2015 / 10:22

Tags

Windows 7 perdendo conexão de rede aleatoriamente quando outros PCs estão conectados O que pode causar um problema persistente, aleatório e intermitente de conectividade?