33646

Атаки на протокол ARP

Доклад

Информатика, кибернетика и программирование

Атаки на протокол RP Протокол разрешения адресов – RP. Функционально протокол RP состоит из двух частей. Одна часть протокола определяет физические адреса другая отвечает на запросы при определении физических адресов. Протокол RP работает различным образом в зависимости от того какой протокол канального уровня работает в данной сети протокол локальной сети Ethernet Token Ring FDDI с возможностью широковещательного доступа одновременно ко всем узлам сети или же протокол глобальной сети Х.

Русский

2013-09-06

38 KB

25 чел.

11. Атаки на протокол ARP

Протокол разрешения адресов – ARP. Функционально протокол ARP состоит из двух частей. Одна часть протокола определяет физические адреса, другая - отвечает на запросы при определении физических адресов.

Протокол ARP работает различным образом в зависимости от того, какой протокол канального уровня работает в данной сети - протокол локальной сети (Ethernet, Token Ring, FDDI) с возможностью широковещательного доступа одновременно ко всем узлам сети, или же протокол глобальной сети (Х.25, frame relay), как правило не поддерживающий широковещательный доступ. Существует также протокол, решающий обратную задачу - нахождение IP-адреса по известному MAC - адресу. Он называется реверсивный ARP - RARP {Reverse Address Resolution Protocol) и используется при старте бездисковых станций, не знающих (не имеющих) в начальный момент своего IР-адреса, но знающих адрес lboci  сетевого адаптера.

В локальных сетях протокол ARP использует широковещательные кадры протокола канального уровня для поиска в сети узла с заданным IP-адресом.

Узел, которому нужно выполнить отображение IP-адреса на MAC - адрес, формирует ARP запрос, вкладывает его в кадр протокола канального уровня, указывая в нем известный IP-адрес, и рассылает запрос широковещательно. Все узлы локальной сети получают ARP запрос и сравнивают указанный там IP-адрес с собственным. Узел, на котором они совпадают, формирует ARP-ответ, в котором указывает свой IP-адрес и свой MAC - адрес и отправляет его уже целенаправленно, так как в ARP запросе отправитель указывает свой MAC - адрес. ARP-запросы и ответы используют один и тот же формат пакета.

2.4.1. Посылка ложного ARP-ответа

Одна из уязвимостей протокола ARP была обнаружена в Windows9X/NT. Посылка специального ARP-пакета приводит к появлению окон с кнопкой ОК.

Обнаружить нарушителя сложно, так как MAC - адрес отправителя в пакете можно задать любым. Создать и отправить такой пакет можно с помощью любого генератора пакетов, например, SnifferPro компании Network Associated. Пользователь компьютера- жертвы будет вынужден много раз нажимать кнопку ОК или перезагружаться.

Для устранения проблемы можно установить исправление (patch) от Microsoft, которое позволяет установить режим игнорирования подобных пакетов.

2.4.2. ARP-Spoofing

Проанализировав схему работы протокола ARP можно сделать вывод, что, перехватив внутри данного сегмента сети широковещательный ARP запрос, можно послать ложный ARP ответ, в котором объявить себя искомым узлом, (например, маршрутизатором), и, таким образом, перехватывать и активно воздействовать на сетевой трафик «жертвы». Данная атака является внутрисегментной, но так как широковещательные пакеты рассылаются во все сегменты коммутатора, то реализация данной атаки возможна и в сетях с коммутацией (в «свитчеванных» сетях).

Кроме того, нарушитель может отправить ответ, в котором указан MAC - адрес несуществующего или неработающего в данный момент узла, что приведёт к невозможности взаимодействия узла - «жертвы» с искомым узлом.

Схема атаки ARP-Spoofing:

  •  ожидание АRР запроса.
  •  передача ложного ARP ответа, в котором указывается адрес сетевого адаптера атакующего (или несуществующий).
  •  прием, анализ, модификация и передача пакетов обмена между взаимодействующими хостами (досылка через посредника, в качестве которого выступает узел нарушителя).

Так как практически все реализации ARP-протокола в стеках ТСР/IР принимают и обрабатывают (добавляют в кэш) ARP-ответы, для которых не было соответствующих запросов, то возможен также вариант атаки на ARP-кэш путем периодической посылки на узел-«жертву» ложных (с искаженными данными) ARP-ответов.

2.5. Меры защиты от атак на протокол ARP

Различные сетевые операционные системы по-разному используют протокол ARP для изменения информации в своих ARP таблицах.

Атаки, связанные с уязвимостями протокола ARP являются внутрисегментными и поэтому представляет угрозу для пользователя только в случае нахождения атакующего внутри сегмента сети. Защиты от атак на протокол ARP в общем случае не существует, т.к. используемые уязвимости являются по сути особенностями работы технологии Ethernet (широковещательность). Однако можно порекомендовать следующее:

  •  нарушителя нужно искать внутри сетевого сегмента атакуемого объекта;
  •  полезно вести таблицу соответствия МАС-адресов и IP-адресов, которую следует периодически обновлять;

использовать статические записи в таблице ARP хотя бы для наиболее важных узлов сети


 

А также другие работы, которые могут Вас заинтересовать

253. Теоретические аспекты охраны труда в Республике Беларусь 491.5 KB
  Назначение повторного заземления нулевого провода. Особенности предоставления компенсаций по результатам аттестации рабочих мест. Организация работы по охране труда в Республике Беларусь и на железнодорожном транспорте. Определение суммарного уровня шума от нескольких источников.
254. Роль лизинга в экономике России. Анализ развития лизингового рынка 608.5 KB
  Рассмотрение экономической сущности лизинга, а так же его возможной роли в укреплении экономики РФ. Изучение истории рынка лизинга в РФ, нормативно-правовой базы, роли лизинга в экономике, а также современного состояния лизингового рынка.
255. Cравнительная оценка гибридов томата в зимних теплицах ЗАО Агрокомбинат московский 614 KB
  Местоположение ЗАО агрокомбинат московский и уровень развития овощеводства в нем. Возделывание томата по малообъемной технологии. Экономическая оценка производства различных гибридов томата. Фенологические наблюдения и биометрические измерения рассады.
256. Фінансово-господарська діяльність військової частини 496.5 KB
  Вимоги щодо зберігання грошових виправдних документів. Справи, що заводяться фінансово-економічною службою військової частини. Обладнання приміщення фінансово-економічної служби та організація робочих місць працівників.
257. Изучение отдела безопасности предприятия ПАТП-1 441.5 KB
  Виды перевозимых грузов, хозяйствующие субъекты, обслуживаемые предприятием. Показатели производительности парка за 2011 год, функции службы эксплуатации. Структура производственно-технической службы, отдела механики и материально-технического снабжения.
258. Локальные сети. Эталонная модель взаимодействия открытых систем (МВОС) 152.5 KB
  Многоуровневые архитектуры связи. Концепция сетевого взаимодействия. Определение локальной сети. Требования, предъявляемые к компьютерным сетям. Концепция сетевого взаимодействия. Методы передачи дискретных данных на физическом уровне.
259. Економічне обгpунтування діяльності підприємства Львівшарм 442.5 KB
  Вплив зниження ставки ПДВ з 20 до 10% на економічні показники підприємства Львівшарм. Складання калькуляції витрат на виготовлення виробів. Аналіз стану справ у галузі та оцінка конкурентоспроможності. Розрахунок нормативу оборотних засобів.
260. Проектирование привода ленточного цепного конвейера 558.5 KB
  Выбор материала для передач редуктора расчет допускаемых напряжений. Подбор подшипников качения. Подбор и проверка прочности шпонок. Расчет быстроходной ступени редуктора. Ориентировочное определение диаметров валов.
261. Строительство пятиэтажного здания в Оренбурге 2.64 MB
  Определение размеров температурно-усадочного шва. Определим в первом приближении размеры сечений балок и плит. Расчет толщины плиты и площади армирования. Определим геометрические характеристики сечения.