33646

Атаки на протокол ARP

Доклад

Информатика, кибернетика и программирование

Атаки на протокол RP Протокол разрешения адресов RP. Функционально протокол RP состоит из двух частей. Одна часть протокола определяет физические адреса другая отвечает на запросы при определении физических адресов. Протокол RP работает различным образом в зависимости от того какой протокол канального уровня работает в данной сети протокол локальной сети Ethernet Token Ring FDDI с возможностью широковещательного доступа одновременно ко всем узлам сети или же протокол глобальной сети Х.

Русский

2013-09-06

38 KB

32 чел.

11. Атаки на протокол ARP

Протокол разрешения адресов – ARP. Функционально протокол ARP состоит из двух частей. Одна часть протокола определяет физические адреса, другая - отвечает на запросы при определении физических адресов.

Протокол ARP работает различным образом в зависимости от того, какой протокол канального уровня работает в данной сети - протокол локальной сети (Ethernet, Token Ring, FDDI) с возможностью широковещательного доступа одновременно ко всем узлам сети, или же протокол глобальной сети (Х.25, frame relay), как правило не поддерживающий широковещательный доступ. Существует также протокол, решающий обратную задачу - нахождение IP-адреса по известному MAC - адресу. Он называется реверсивный ARP - RARP {Reverse Address Resolution Protocol) и используется при старте бездисковых станций, не знающих (не имеющих) в начальный момент своего IР-адреса, но знающих адрес lboci  сетевого адаптера.

В локальных сетях протокол ARP использует широковещательные кадры протокола канального уровня для поиска в сети узла с заданным IP-адресом.

Узел, которому нужно выполнить отображение IP-адреса на MAC - адрес, формирует ARP запрос, вкладывает его в кадр протокола канального уровня, указывая в нем известный IP-адрес, и рассылает запрос широковещательно. Все узлы локальной сети получают ARP запрос и сравнивают указанный там IP-адрес с собственным. Узел, на котором они совпадают, формирует ARP-ответ, в котором указывает свой IP-адрес и свой MAC - адрес и отправляет его уже целенаправленно, так как в ARP запросе отправитель указывает свой MAC - адрес. ARP-запросы и ответы используют один и тот же формат пакета.

2.4.1. Посылка ложного ARP-ответа

Одна из уязвимостей протокола ARP была обнаружена в Windows9X/NT. Посылка специального ARP-пакета приводит к появлению окон с кнопкой ОК.

Обнаружить нарушителя сложно, так как MAC - адрес отправителя в пакете можно задать любым. Создать и отправить такой пакет можно с помощью любого генератора пакетов, например, SnifferPro компании Network Associated. Пользователь компьютера- жертвы будет вынужден много раз нажимать кнопку ОК или перезагружаться.

Для устранения проблемы можно установить исправление (patch) от Microsoft, которое позволяет установить режим игнорирования подобных пакетов.

2.4.2. ARP-Spoofing

Проанализировав схему работы протокола ARP можно сделать вывод, что, перехватив внутри данного сегмента сети широковещательный ARP запрос, можно послать ложный ARP ответ, в котором объявить себя искомым узлом, (например, маршрутизатором), и, таким образом, перехватывать и активно воздействовать на сетевой трафик «жертвы». Данная атака является внутрисегментной, но так как широковещательные пакеты рассылаются во все сегменты коммутатора, то реализация данной атаки возможна и в сетях с коммутацией (в «свитчеванных» сетях).

Кроме того, нарушитель может отправить ответ, в котором указан MAC - адрес несуществующего или неработающего в данный момент узла, что приведёт к невозможности взаимодействия узла - «жертвы» с искомым узлом.

Схема атаки ARP-Spoofing:

  •  ожидание АRР запроса.
  •  передача ложного ARP ответа, в котором указывается адрес сетевого адаптера атакующего (или несуществующий).
  •  прием, анализ, модификация и передача пакетов обмена между взаимодействующими хостами (досылка через посредника, в качестве которого выступает узел нарушителя).

Так как практически все реализации ARP-протокола в стеках ТСР/IР принимают и обрабатывают (добавляют в кэш) ARP-ответы, для которых не было соответствующих запросов, то возможен также вариант атаки на ARP-кэш путем периодической посылки на узел-«жертву» ложных (с искаженными данными) ARP-ответов.

2.5. Меры защиты от атак на протокол ARP

Различные сетевые операционные системы по-разному используют протокол ARP для изменения информации в своих ARP таблицах.

Атаки, связанные с уязвимостями протокола ARP являются внутрисегментными и поэтому представляет угрозу для пользователя только в случае нахождения атакующего внутри сегмента сети. Защиты от атак на протокол ARP в общем случае не существует, т.к. используемые уязвимости являются по сути особенностями работы технологии Ethernet (широковещательность). Однако можно порекомендовать следующее:

  •  нарушителя нужно искать внутри сетевого сегмента атакуемого объекта;
  •  полезно вести таблицу соответствия МАС-адресов и IP-адресов, которую следует периодически обновлять;

использовать статические записи в таблице ARP хотя бы для наиболее важных узлов сети


 

А также другие работы, которые могут Вас заинтересовать

33394. СУ класса PCNC «Микрос-12Т». Назначение, состав, структура 31 KB
  УЧПУ Микрос12Т предназначено для модернизации и комплектации токарных станков. УЧПУ построено по архитектуре промышленного компьютера с использованием собственной операционной системы жесткого реального времени. Конструктивно УЧПУ состоит из двух блоков: управления рис. Блочная конструкция УЧПУ позволяет расположить компактный пульт управления близко к зоне обработки детали.
33395. АЛУ ОМК КР1816ВЕ51 30.5 KB
  АЛУ состоит из регистра аккумулятора двух программнонедоступных регистров Т1 и Т2 предназначенных для временного хранения операндов сумматора дополнительного регистра В регистра слова состояния программы ССП схемы десятичной коррекции и схемы формирования признаков. Важной особенностью АЛУ является его способность оперировать не только байтами но и битами. Таким образом АЛУ может оперировать четырьмя типами информационных объектов: булевскими 1 бит цифровыми 4 бита байтными 8 бит и адресными 16 бит.
33396. Признаки регистра ССП КР1816ВЕ51 38.5 KB
  В таблице приводится перечень флагов ССП даются их символические имена и описываются условия их формирования. Формат регистра слова состояния программы ССП Символ Позиция Наименование и назначение флага C PSW.7 Флаг переноса.6 Флаг вспомогательного переноса.
33397. Граф возможных вариантов пересылки … КР1816ВЕ51 31 KB
  Возможны следующие виды пересылки: пересылка в аккумулятор из регистра и пересылка в регистр из аккумулятор; пересылка в аккумулятор прямоадресуемого байта и пересылка по прямому адресу аккумулятора; пересылка в аккумулятор байта из РДП и пересылка в РДП из аккумулятора; пересылка в регистр прямоадресуемого байта и пересылка по прямому адресу регистра; пересылка прямоадресуемого байта по прямому адресу; пересылка в аккумулятор байта из ВПД и пересылка в ВПД из аккумулятора; пересылка в аккумулятор байта из расширенной ВПД и пересылка в...
33398. Структура РПП и ВПП КР1816ВЕ51 28.5 KB
  Организация памяти в микроконтроллере иллюстрируется рисунке Память программ имеет 16битовую адресную шину ее элементы адресуются с использованием счетчика команд PC или инструкций которые вырабатывают 16разрядные адреса. Память программ доступна только по чтению. ОМЭВМ не имеют команд и управляющих сигналов предназначенных для записи в память программ.
33399. Структура РПД и ВПД КР1816ВЕ51 27.5 KB
  Организация памяти в микроконтроллере иллюстрируется рисунке Память данных делится на внешнюю и внутреннюю каждая из них имеет свое пространство адресов. В архитектуре MК51 пространство адресов внутренней памяти данных объединяет все внутренние программно доступные ресурсы. Это пространство размером 256 байт в свою очередь делится на пространство адресов внутреннего ОЗУ резидентная память данных РПД размером 128 байт и пространство адресов регистров специальных функций.
33400. Порты ввода-вывода КР1816ВЕ51 34.5 KB
  Каждый порт содержит управляемые регистрзащелку входной буфер и выходной драйвер. Выходные драйверы портов 0 Р0 и 2 Р2 а также входной буфер Р0 используются при обращении к внешней памяти ВПП и ВПД.5 Вход таймера счетчика 1 или тест вход.4 Вход таймера счетчика 0 или тест вход.
33401. Таймер/Счетчики КР1816ВЕ51 30 KB
  Для управления режимами работы Т С и для организации взаимодействия таймеров с системой прерывания используются два регистра специальных функций РРТС и РУСТ. РРТС определяет включение и выключение T C а также их режимы работы. Используются четыре режима работы Т С. Режим 0.
33402. Образ организации-работодателя 15.43 KB
  Профиль восприятия или имидж предприятия как работодателя в персоналмаркетингеmix называют персоналимиджем personlimge. Персоналимидж организации управляет поведением кандидата на наем ищущего работу. Сначала персоналимидж влияет на решение кандидата: можно ли вообще рассматривать организацию как работодателя. Если организация в итоге потенциальной для найма определяется то персоналимидж свое решающее влияние может оказать на претендента в процессе собеседования в результате которого у кандидата на должность сформируется...