33646

Атаки на протокол ARP

Доклад

Информатика, кибернетика и программирование

Атаки на протокол RP Протокол разрешения адресов RP. Функционально протокол RP состоит из двух частей. Одна часть протокола определяет физические адреса другая отвечает на запросы при определении физических адресов. Протокол RP работает различным образом в зависимости от того какой протокол канального уровня работает в данной сети протокол локальной сети Ethernet Token Ring FDDI с возможностью широковещательного доступа одновременно ко всем узлам сети или же протокол глобальной сети Х.

Русский

2013-09-06

38 KB

29 чел.

11. Атаки на протокол ARP

Протокол разрешения адресов – ARP. Функционально протокол ARP состоит из двух частей. Одна часть протокола определяет физические адреса, другая - отвечает на запросы при определении физических адресов.

Протокол ARP работает различным образом в зависимости от того, какой протокол канального уровня работает в данной сети - протокол локальной сети (Ethernet, Token Ring, FDDI) с возможностью широковещательного доступа одновременно ко всем узлам сети, или же протокол глобальной сети (Х.25, frame relay), как правило не поддерживающий широковещательный доступ. Существует также протокол, решающий обратную задачу - нахождение IP-адреса по известному MAC - адресу. Он называется реверсивный ARP - RARP {Reverse Address Resolution Protocol) и используется при старте бездисковых станций, не знающих (не имеющих) в начальный момент своего IР-адреса, но знающих адрес lboci  сетевого адаптера.

В локальных сетях протокол ARP использует широковещательные кадры протокола канального уровня для поиска в сети узла с заданным IP-адресом.

Узел, которому нужно выполнить отображение IP-адреса на MAC - адрес, формирует ARP запрос, вкладывает его в кадр протокола канального уровня, указывая в нем известный IP-адрес, и рассылает запрос широковещательно. Все узлы локальной сети получают ARP запрос и сравнивают указанный там IP-адрес с собственным. Узел, на котором они совпадают, формирует ARP-ответ, в котором указывает свой IP-адрес и свой MAC - адрес и отправляет его уже целенаправленно, так как в ARP запросе отправитель указывает свой MAC - адрес. ARP-запросы и ответы используют один и тот же формат пакета.

2.4.1. Посылка ложного ARP-ответа

Одна из уязвимостей протокола ARP была обнаружена в Windows9X/NT. Посылка специального ARP-пакета приводит к появлению окон с кнопкой ОК.

Обнаружить нарушителя сложно, так как MAC - адрес отправителя в пакете можно задать любым. Создать и отправить такой пакет можно с помощью любого генератора пакетов, например, SnifferPro компании Network Associated. Пользователь компьютера- жертвы будет вынужден много раз нажимать кнопку ОК или перезагружаться.

Для устранения проблемы можно установить исправление (patch) от Microsoft, которое позволяет установить режим игнорирования подобных пакетов.

2.4.2. ARP-Spoofing

Проанализировав схему работы протокола ARP можно сделать вывод, что, перехватив внутри данного сегмента сети широковещательный ARP запрос, можно послать ложный ARP ответ, в котором объявить себя искомым узлом, (например, маршрутизатором), и, таким образом, перехватывать и активно воздействовать на сетевой трафик «жертвы». Данная атака является внутрисегментной, но так как широковещательные пакеты рассылаются во все сегменты коммутатора, то реализация данной атаки возможна и в сетях с коммутацией (в «свитчеванных» сетях).

Кроме того, нарушитель может отправить ответ, в котором указан MAC - адрес несуществующего или неработающего в данный момент узла, что приведёт к невозможности взаимодействия узла - «жертвы» с искомым узлом.

Схема атаки ARP-Spoofing:

  •  ожидание АRР запроса.
  •  передача ложного ARP ответа, в котором указывается адрес сетевого адаптера атакующего (или несуществующий).
  •  прием, анализ, модификация и передача пакетов обмена между взаимодействующими хостами (досылка через посредника, в качестве которого выступает узел нарушителя).

Так как практически все реализации ARP-протокола в стеках ТСР/IР принимают и обрабатывают (добавляют в кэш) ARP-ответы, для которых не было соответствующих запросов, то возможен также вариант атаки на ARP-кэш путем периодической посылки на узел-«жертву» ложных (с искаженными данными) ARP-ответов.

2.5. Меры защиты от атак на протокол ARP

Различные сетевые операционные системы по-разному используют протокол ARP для изменения информации в своих ARP таблицах.

Атаки, связанные с уязвимостями протокола ARP являются внутрисегментными и поэтому представляет угрозу для пользователя только в случае нахождения атакующего внутри сегмента сети. Защиты от атак на протокол ARP в общем случае не существует, т.к. используемые уязвимости являются по сути особенностями работы технологии Ethernet (широковещательность). Однако можно порекомендовать следующее:

  •  нарушителя нужно искать внутри сетевого сегмента атакуемого объекта;
  •  полезно вести таблицу соответствия МАС-адресов и IP-адресов, которую следует периодически обновлять;

использовать статические записи в таблице ARP хотя бы для наиболее важных узлов сети


 

А также другие работы, которые могут Вас заинтересовать

11272. Определение моментов инерции тел на приборе Обербека 255.5 KB
  Определение моментов инерции тел на приборе Обербека Методические указания к лабораторной работе № 10А по физике Раздел Механика Указания содержат краткое описание рабочей установки и методики определения момента инерции на приборе Обе
11273. ОПРЕДЕЛЕНИЕ ЗАВИСИМОСТИ МОМЕНТА ИНЕРЦИИ СИСТЕМЫ ОТ РАСПРЕДЕЛЕНИЯ МАССЫ ОТНОСИТЕЛЬНО ОСИ ВРАЩЕНИЯ 235 KB
  ОПРЕДЕЛЕНИЕ ЗАВИСИМОСТИ МОМЕНТА ИНЕРЦИИ СИСТЕМЫ ОТ РАСПРЕДЕЛЕНИЯ МАССЫ ОТНОСИТЕЛЬНО ОСИ ВРАЩЕНИЯ Методические указания к лабораторной работе № 10Б по физике Раздел Механика Указания содержат краткое описание рабочей установки и методики ...
11274. Определение момента сил трения и момента инерции махового колеса 266 KB
  Определение момента сил трения и момента инерции махового колеса. Указания содержат краткое описание рабочей установки и методики определения момента инерции махового колеса. Методические указания предназначены для студентов инженерных специальностей...
11275. Определение момента инерции твердых тел методом трифилярного подвеса 235 KB
  Определение момента инерции твердых тел методом трифилярного подвеса Указания содержат описание рабочей установки и методики определения момента инерции твердых тел методом трифилярного подвеса. Методические указания предназначены для студентов инжене
11276. Изучение динамики вращательного движения с помощью маятника максвелла 231 KB
  Изучение динамики вращательного движения с помощью маятника максвелла Указания содержат краткое описание рабочей установки и методики определения момента инерции с помощью маятника Максвелла. Методические указания предназначены для студентов инженерных спе...
11277. Определение коэффициентов трения качения и трения скольжения с помощью наклонного маятника 7.79 MB
  Лабораторная работа Определение коэффициентов трения качения и трения скольжения с помощью наклонного маятника Цель работы: определение коэффициентов трения качения и трения скольжения. Оборудование: измерительная установка секу
11278. Определение ускорения свободного падения на машине Атвуда 258 KB
  Определение ускорения свободного падения на машине Атвуда. Указания содержат краткое описание рабочей установки и методику определения ускорения свободного падения с помощью машины Атвуда. Методические указания предназначены для студентов инженерных специально
11279. ОПРЕДЛЕНИЕ КИНЕМАТИЧЕСКИХ ХАРАКТЕРИСТИК РАВНОПЕРЕМЕННОГО ДВИЖЕНИЯ 178 KB
  ОПРЕДЛЕНИЕ КИНЕМАТИЧЕСКИХ ХАРАКТЕРИСТИК РАВНОПЕРЕМЕННОГО ДВИЖЕНИЯ Цель работы: 1 измерить основные кинематические характеристики равнопеременного поступательного и вращательного движений; 2 познакомиться с методами обработки прямых и косвенных измерений. Обо...
11280. Изучение внешнего фотоэффекта, Световой поток 380.5 KB
  Световой поток – это физическая величина, определяемая оптической мощностью излучения по вызываемому им световому ощущению (по его действию на селективный приемник света с заданной спектральной чувствительностью); измеряется в люменах (лм)...