33646

Атаки на протокол ARP

Доклад

Информатика, кибернетика и программирование

Атаки на протокол RP Протокол разрешения адресов RP. Функционально протокол RP состоит из двух частей. Одна часть протокола определяет физические адреса другая отвечает на запросы при определении физических адресов. Протокол RP работает различным образом в зависимости от того какой протокол канального уровня работает в данной сети протокол локальной сети Ethernet Token Ring FDDI с возможностью широковещательного доступа одновременно ко всем узлам сети или же протокол глобальной сети Х.

Русский

2013-09-06

38 KB

29 чел.

11. Атаки на протокол ARP

Протокол разрешения адресов – ARP. Функционально протокол ARP состоит из двух частей. Одна часть протокола определяет физические адреса, другая - отвечает на запросы при определении физических адресов.

Протокол ARP работает различным образом в зависимости от того, какой протокол канального уровня работает в данной сети - протокол локальной сети (Ethernet, Token Ring, FDDI) с возможностью широковещательного доступа одновременно ко всем узлам сети, или же протокол глобальной сети (Х.25, frame relay), как правило не поддерживающий широковещательный доступ. Существует также протокол, решающий обратную задачу - нахождение IP-адреса по известному MAC - адресу. Он называется реверсивный ARP - RARP {Reverse Address Resolution Protocol) и используется при старте бездисковых станций, не знающих (не имеющих) в начальный момент своего IР-адреса, но знающих адрес lboci  сетевого адаптера.

В локальных сетях протокол ARP использует широковещательные кадры протокола канального уровня для поиска в сети узла с заданным IP-адресом.

Узел, которому нужно выполнить отображение IP-адреса на MAC - адрес, формирует ARP запрос, вкладывает его в кадр протокола канального уровня, указывая в нем известный IP-адрес, и рассылает запрос широковещательно. Все узлы локальной сети получают ARP запрос и сравнивают указанный там IP-адрес с собственным. Узел, на котором они совпадают, формирует ARP-ответ, в котором указывает свой IP-адрес и свой MAC - адрес и отправляет его уже целенаправленно, так как в ARP запросе отправитель указывает свой MAC - адрес. ARP-запросы и ответы используют один и тот же формат пакета.

2.4.1. Посылка ложного ARP-ответа

Одна из уязвимостей протокола ARP была обнаружена в Windows9X/NT. Посылка специального ARP-пакета приводит к появлению окон с кнопкой ОК.

Обнаружить нарушителя сложно, так как MAC - адрес отправителя в пакете можно задать любым. Создать и отправить такой пакет можно с помощью любого генератора пакетов, например, SnifferPro компании Network Associated. Пользователь компьютера- жертвы будет вынужден много раз нажимать кнопку ОК или перезагружаться.

Для устранения проблемы можно установить исправление (patch) от Microsoft, которое позволяет установить режим игнорирования подобных пакетов.

2.4.2. ARP-Spoofing

Проанализировав схему работы протокола ARP можно сделать вывод, что, перехватив внутри данного сегмента сети широковещательный ARP запрос, можно послать ложный ARP ответ, в котором объявить себя искомым узлом, (например, маршрутизатором), и, таким образом, перехватывать и активно воздействовать на сетевой трафик «жертвы». Данная атака является внутрисегментной, но так как широковещательные пакеты рассылаются во все сегменты коммутатора, то реализация данной атаки возможна и в сетях с коммутацией (в «свитчеванных» сетях).

Кроме того, нарушитель может отправить ответ, в котором указан MAC - адрес несуществующего или неработающего в данный момент узла, что приведёт к невозможности взаимодействия узла - «жертвы» с искомым узлом.

Схема атаки ARP-Spoofing:

  •  ожидание АRР запроса.
  •  передача ложного ARP ответа, в котором указывается адрес сетевого адаптера атакующего (или несуществующий).
  •  прием, анализ, модификация и передача пакетов обмена между взаимодействующими хостами (досылка через посредника, в качестве которого выступает узел нарушителя).

Так как практически все реализации ARP-протокола в стеках ТСР/IР принимают и обрабатывают (добавляют в кэш) ARP-ответы, для которых не было соответствующих запросов, то возможен также вариант атаки на ARP-кэш путем периодической посылки на узел-«жертву» ложных (с искаженными данными) ARP-ответов.

2.5. Меры защиты от атак на протокол ARP

Различные сетевые операционные системы по-разному используют протокол ARP для изменения информации в своих ARP таблицах.

Атаки, связанные с уязвимостями протокола ARP являются внутрисегментными и поэтому представляет угрозу для пользователя только в случае нахождения атакующего внутри сегмента сети. Защиты от атак на протокол ARP в общем случае не существует, т.к. используемые уязвимости являются по сути особенностями работы технологии Ethernet (широковещательность). Однако можно порекомендовать следующее:

  •  нарушителя нужно искать внутри сетевого сегмента атакуемого объекта;
  •  полезно вести таблицу соответствия МАС-адресов и IP-адресов, которую следует периодически обновлять;

использовать статические записи в таблице ARP хотя бы для наиболее важных узлов сети


 

А также другие работы, которые могут Вас заинтересовать

4513. Составление проекта вертикальной планировки городской территории 606 KB
  Составление проекта вертикальной планировки городской территории Введение В большом объеме градостроительных работ видное место занимают работы по инженерному благоустройству территории. Инженерное благоустройство территории - это комплекс весьма ра...
4514. Оборотные средства предприятия 105.78 KB
  Каждое предприятие, начиная свою производственно-хозяйственную деятельность, должно располагать определённой денежной суммой. На эти денежные ресурсы предприятие закупает на рынке или у других предприятий по договорам сырьё, материалы, топл...
4515. Психотерапия и экзистенциализм. Избранные работы по логотерапии 955 KB
  Психотерапия и экзистенциализм. Избранные работы по логотерапии Предисловие В этой книге содержатся, главным образом, мои работы по логотерапии, изданные за последние несколько лет. Я переиздаю те очерки, которые, как мне кажется, дадут наиболее ясн...
4516. Маркетинг в банке. Учебно-методическое пособие 1.42 MB
  Введение Переход к рыночным отношениям основывается прежде всего на оздоровлении финансов и перестройке банковской системы, формировании и развитии финансового рынка. Продвижение банковской системы к рыночной экономике во многом определяется реализа...
4517. Продуктивність, забійні показники та якість м’яса курчат-бройлерів при згодовуванні ферментного препарату лодозим Респект 110.76 KB
  Метою даної роботи було вивчення впливу ферментного препарату Респект на забійні показники та якість м'яса бройлерів. У роботі проведено вивчення літературних наукових повідомлень з даної тематики. досліджено вплив ферментного препарату на швидкість та інтенсивність росту курчат.
4518. Особенности конструирования фрез Победа для обработки зубчатого колеса 17.68 MB
  Введение В настоящее время в машиностроении нашли применение крупногабаритные зубчатые колеса модулем 30 мм и более. Для нарезания зубьев на этих колесах используют модульные дисковые и пальцевые фрезы. При фрезеровании зубьев мн...
4519. Насосні станції. Навчально-методичний посібник 1.59 MB
  Вступ Ефективність роботи над курсом Насосні станції забезпечується путівником у вигляді структурованих модулів, в яких визначена послідовність виконання навчальних дій та характер їх виконання у вигляді символів. Основні положення при виконанні р...
4520. Радиоприемные устройства. Конспект лекций 1.58 MB
  Радиоприемные устройства В упрощенном изложении представлены принципы построения, основные схемотехнические и системотехнические решения и теоретические основы радиоприемных устройств. Рассмотрены структурные схемы радиоприемных устройств различного...
4521. Слово в телеэфире: Очерки новейшего словоупотребления в российском телевещании 868.5 KB
  Введение Растущее число научных и учебно-методических публикаций, в которых общекультурные, этические, социальные проблемы рассматриваются сквозь призму языковых явлений, свидетельствует о далеко не исчерпанных возможностях отечественной лингвистики...