15-LABORATORIYA ISHI ARP POISONING TARMOQ XUJUMI TAHLILI 15.1. Ishdan maqsad ARP haqida nazariy bilimga ega bo`lish; Cain&Abel va WireShark dasturlarida ARP protokolini tahlil qilish.
15.2. Nazariy qism ARP Poisoning – tarmoq trafigini buzish, qayta yo'naltirish yoki monitoring qilish uchun keng qo'llaniladigan Manzilni aniqlash protokoli (ARP) zaif tomonlaridan foydalanadigan kiberhujumning bir turi.
ARP nima. ARP boshqa kompyuterning IP manzilidan MAC manzilini aniqlash uchun mo'ljallangan. ARP tarmoqqa ulangan qurilmalarga hozirda qaysi qurilmaga ma'lum IP-manzil tayinlanganligini so'rash imkonini beradi. Qurilmalar ushbu topshiriqni soʻrovsiz tarmoqning qolgan qismiga ham eʼlon qilishi mumkin. Samaradorlik maqsadida qurilmalar odatda ushbu javoblarni keshlaydi va joriy MAC-IP topshiriqlari ro'yxatini yaratadi.
ARP spoofing nima. ARP spoofing tarmoqdagi boshqa qurilmalar uchun MAC-IP topshiriqlarini buzish uchun ARP ning zaif tomonlaridan foydalanishdir. 1982 yilda, ARP protokoli joriy etilganda, xavfsizlik birinchi o'rinda emas edi, shuning uchun protokol dizaynerlari hech qachon ARP xabarlarini tekshirish uchun autentifikatsiya mexanizmlaridan foydalanmagan. Tarmoqdagi har qanday qurilma ARP so'roviga javob berishi mumkin, u so'rovni qabul qiluvchimi yoki yo'qmi. Misol uchun, agar A kompyuteri B kompyuterining MAC manzilini so'rasa, C kompyuteridagi tajovuzkor javob berishi mumkin va A kompyuteri bu javobni haqiqiy deb qabul qiladi. Ushbu zaiflik tufayli juda ko'p hujumlar amalga oshirildi. Oson mavjud vositalardan foydalangan holda, tajovuzkor mahalliy tarmoqdagi boshqa xostlarning ARP keshini noto'g'ri ma'lumotlar bilan to'ldirish orqali zaharlashi mumkin.
ARP bilan zaharlanish bosqichlari. ARP bilan zaharlanish bosqichlari farq qilishi mumkin, lekin odatda minimal ro'yxat quyidagicha:
1. Tajovuzkor jabrlanuvchining mashinasini yoki mashinalarini tanlaydi
ARP Poising hujumini rejalashtirish va amalga oshirishdagi birinchi qadam maqsadni tanlashdir. Bu tarmoqdagi muayyan so'nggi nuqta, so'nggi nuqtalar guruhi yoki yo'riqnoma kabi tarmoq qurilmasi bo'lishi mumkin. Routerlar jozibador maqsadlardir, chunki marshrutizatorning muvaffaqiyatli ARP zaharlanishi butun quyi tarmoq uchun trafikni buzishi mumkin.
2. Hujumchi asboblarni ishga tushiradi va hujumni boshlaydi
ARP zaharlanishini amalga oshirmoqchi bo'lgan barcha tajovuzkorlar uchun keng turdagi vositalar mavjud. Tanlangan vositani ishga tushirgandan va tegishli parametrlarni o'rnatgandan so'ng, tajovuzkor hujumni boshlaydi. U darhol ARP xabarlarini yuborishni boshlashi yoki so'rovni qabul qilishini kutishi mumkin.
3. Buzg'unchi noto'g'ri yo'naltirilgan trafik bilan muayyan harakatlar qiladi
Jabrlanuvchining qurilma(lar)idagi ARP keshi buzilganidan so'ng, tajovuzkor odatda noto'g'ri yo'naltirilgan trafik bilan biror narsa qiladi. U uni ko'rishi yoki o'zgartirishi yoki ma'lumotlar hech qachon qabul qiluvchiga etib bormasligi uchun "qora tuynuk" yaratishi mumkin. Harakatni tanlash hujumchining maqsadiga bog'liq.
ARP Poisoning hujumlarining turlari. ARP ni zaharlashning ikkita asosiy usuli mavjud: tajovuzkor aniq maqsad uchun ARP so'rovini kutishi va unga javob berishi yoki o'z-o'zidan so'ralgan so'rovlardan foydalanishi mumkin (beg'araz ARP). Birinchi javob Internetda kamroq ko'rinadi, ammo uning potentsial ta'siri ham kamroq bo'ladi. O'z-o'zidan boshqariladigan ARP so'rovlari samaraliroq bo'lishi va ko'proq qurbonlarga ta'sir qilishi mumkin, ammo ular juda ko'p tarmoq trafigini yaratishning salbiy tomoniga ega. Ikkala yondashuv bilan ham qurbon qurilmalaridagi buzilgan ARP keshidan keyingi maqsadlarda foydalanish mumkin:
MITM (Man In The Middle). MITM hujumlari, ehtimol, ARP zaharlanishining eng keng tarqalgan va potentsial eng xavfli maqsadidir. Buzg'unchi ma'lum bir IP-manzilga soxta ARP javoblarini yuboradi (odatda ma'lum bir quyi tarmoq uchun standart shlyuz). Bu qurbon qurilmalarning ARP keshini mahalliy routerning MAC manzili o‘rniga tajovuzkor mashinasining MAC manzili bilan to‘ldirishiga olib keladi. Keyin jabrlanuvchi qurilmalar tarmoq trafigini tajovuzkorga noto'g'ri yo'naltiradi. Ettercap kabi vositalar tajovuzkorga proksi-server sifatida harakat qilish, trafikni mo'ljallangan manzilga yuborishdan oldin ma'lumotlarni ko'rish yoki o'zgartirish imkonini beradi. Bunday holda, jabrlanuvchi ishdagi o'zgarishlarni sezmasligi mumkin.
Bir vaqtning o'zida ARP zaharlanishi va DNS zaharlanishi MiTM hujumining samaradorligini sezilarli darajada oshirishi mumkin. Ushbu stsenariyda jabrlanuvchi foydalanuvchi qonuniy sayt manzilini (masalan, google.com) kiritishi va to'g'ri manzil o'rniga tajovuzkor mashinasining IP manzilini olishi mumkin.
Xizmat ishdan chiqishi (Denial of Serfice-DoS). DoS hujumi - bu bir yoki bir nechta qurbonlarning tarmoq resurslariga kirishiga ruxsat berilmagani. ARP holatida, tajovuzkor bitta MAC manziliga yuzlab yoki hatto minglab IP-manzillarni noto'g'ri tayinlaydigan ARP javobini yuborishi mumkin va bu maqsadli qurilmani haddan tashqari yuklaydi. Ba'zan "ARP flooding" (ARP flooding) deb ataladigan ushbu turdagi hujum, shuningdek, butun tarmoqning ishlashiga potentsial ta'sir ko'rsatadigan kalitlarni nishonga olishi mumkin.
Seansni o'g'irlash. Seansni o'g'irlash tabiatan MiTMga o'xshaydi, bundan tashqari tajovuzkor jabrlanuvchining mashinasidan maqsadli qurilmaga trafikni to'g'ridan-to'g'ri yo'naltirmaydi. Buning o'rniga, u jabrlanuvchining haqiqiy TCP tartib raqamini yoki cookie-faylini ushlaydi va undan jabrlanuvchiga o'xshatish uchun foydalanadi. Shunday qilib, u, masalan, agar u tizimga kirgan bo'lsa, ijtimoiy tarmoqdagi foydalanuvchi hisobiga kirish huquqiga ega bo'lishi mumkin.
ARP Poisoning maqsadi nima. Xakerlar har doim turli xil motivlarga ega, shu jumladan ARP zaharlanishini amalga oshirishda, yuqori darajadagi josuslikdan tortib, tarmoqni buzish hayajoniga qadar. Mumkin bo'lgan bir stsenariyda tajovuzkor ma'lum bir quyi tarmoq uchun standart shlyuz rolini o'z zimmasiga olish uchun soxta ARP xabarlaridan foydalanishi mumkin, bu esa barcha trafikni mahalliy router o'rniga o'z qurilmasiga samarali yo'naltirishi mumkin. Keyin u trafikni kuzatishi, uni o'zgartirishi yoki tushirishi mumkin. Bunday hujumlar "yuqori darajadagi" hisoblanadi, chunki ular o'z ortlarida dalillarni qoldiradilar, lekin ular tarmoqning ishlashiga ta'sir qilishi shart emas. Agar hujumning maqsadi josuslik bo'lsa, tajovuzkorning mashinasi tajovuzkorga biror narsa o'zgargan deb gumon qilishiga asos bermasdan, trafikni dastlabki manzilga yo'naltiradi.
Yana bir maqsad tarmoqning sezilarli uzilishi bo'lishi mumkin. Masalan, ko'pincha DoS hujumlari juda tajribali bo'lmagan xakerlar tomonidan yaratilgan muammolardan zavqlanish uchun amalga oshiriladi.
ARP zaharlanishining xavfli turi ichki hujumlardir. Soxta ARP xabarlari mahalliy tarmoqdan tashqariga chiqmaydi, shuning uchun hujum mahalliy qurilmadan kelib chiqishi kerak. Tashqi qurilma ham potentsial ARP hujumini boshlashi mumkin, lekin birinchi navbatda u mahalliy tizimni boshqa vositalar bilan masofadan buzishi kerak, insayder esa faqat tarmoq ulanishi va ba'zi oson kirish vositalariga muhtoj.
Ushbu laboratoriyada biz amalda Cisco kommutatoriga havola qatlami hujumini qanday amalga oshirishni ko'rsatamiz, shuningdek, tarmoqni bundan qanday himoya qilishni ko'rib chiqamiz.
ARP protokoli IP manzilni MAC manziliga aylantirish uchun ishlatiladi:
15.1-rasm
Agar siz H1 xostidan shlyuzga ping yuborsangiz nima bo'ladi? Avvalo, ARP protokoli ishlaydi. H1 xost MAC va IP va uzatuvchi IP (GATEWAY) ko'rsatuvchi translyatsiya so'rovini (ARP-so'rov) yuboradi. Keyinchalik, GATEWAY so'rovni oladi va qabul qiluvchining IP maydonida uning manzili mavjudligini ko'rib, unga MAC-ni qo'shadi va ARP-javob javobini yuboradi. H1 xost javobni oladi va uni ARP jadvaliga kiritadi.