Analisis Serangan Spoofing ARP dalam Wireshark

Analisis Serangan Spoofing Arp Dalam Wireshark



Kita mungkin pernah mendengar tentang banyak serangan rangkaian. ARP spoofing adalah salah satu daripada banyak serangan rangkaian. Penipuan ARP ialah mekanisme di mana permintaan ARP dihantar secara kontroversi ke rangkaian kawasan setempat oleh penyerang. Jika sebarang balasan ARP datang daripada mangsa, alamat MAC penyerang dikemas kini dengan alamat IP hos sebenar yang lain supaya trafik sebenar pergi ke sistem penyerang dan bukannya sistem sebenar. Dalam artikel ini, mari kita ketahui lebih banyak butiran tentang serangan penipuan ARP.

Alat untuk Digunakan dalam ARP Spoofing Attack

Terdapat banyak alatan seperti Arpspoof, Cain & Abel, Arpoison, dan Ettercap yang tersedia untuk memulakan penipuan ARP.

Berikut ialah tangkapan skrin untuk menunjukkan cara alat yang disebutkan boleh menghantar permintaan ARP dengan penuh perbalahan:







ARP Spoofing Attack dalam Butiran

Mari kita lihat beberapa tangkapan skrin dan fahami pemalsuan ARP langkah demi langkah:



Langkah 1 :



Jangkaan penyerang adalah untuk mendapatkan balasan ARP supaya ia boleh mengetahui alamat MAC mangsa. Sekarang, jika kita pergi lebih jauh dalam tangkapan skrin yang diberikan, kita dapat melihat bahawa terdapat 2 balasan ARP daripada alamat IP 192.168.56.100 dan 192.168.56.101. Selepas ini, mangsa [192.168.56.100 dan 192.168.56.101] mengemas kini cache ARPnya tetapi tidak bertanya balik. Jadi, entri dalam cache ARP tidak pernah dibetulkan.

Nombor paket permintaan ARP ialah 137 dan 138. Nombor paket tindak balas ARP ialah 140 dan 143.



Oleh itu, penyerang mencari kelemahan dengan melakukan penipuan ARP. Ini dipanggil sebagai 'kemasukan serangan'.

Langkah 2:
Nombor paket ialah 141, 142 dan 144, 146.

Daripada aktiviti sebelumnya, penyerang kini mempunyai alamat MAC yang sah 192.168.56.100 dan 192.168.56.101. Langkah seterusnya untuk penyerang adalah menghantar paket ICMP ke alamat IP mangsa. Dan kita boleh lihat daripada tangkapan skrin yang diberikan bahawa penyerang menghantar paket ICMP dan mendapat balasan ICMP daripada 192.168.56.100 dan 192.168.56.101. Ini bermakna kedua-dua alamat IP [192.168.56.100 dan 192.168.56.101] boleh dicapai.

Langkah 3:

Kita dapat melihat bahawa terdapat permintaan ARP terakhir untuk alamat IP 192.168.56.101 untuk mengesahkan bahawa hos itu aktif dan ia mempunyai alamat MAC yang sama iaitu 08:00:27:dd:84:45.

Nombor paket yang diberikan ialah 3358.

Langkah 4:

Terdapat satu lagi permintaan dan respons ICMP dengan alamat IP 192.168.56.101. Nombor paket ialah 3367 dan 3368.

Kita boleh fikir dari sini bahawa penyerang menyasarkan mangsa yang alamat IPnya ialah 192.168.56.101.

Sekarang, sebarang maklumat yang datang daripada alamat IP 192.168.56.100 atau 192.168.56.101 hingga IP 192.168.56.1 sampai kepada penyerang alamat MAC yang alamat IPnya ialah 192.168.56.1.

Langkah 5:

Sebaik sahaja penyerang mempunyai akses, ia cuba mewujudkan sambungan sebenar. Daripada tangkapan skrin yang diberikan, kita dapat melihat bahawa penubuhan sambungan HTTP sedang dicuba daripada penyerang. Terdapat sambungan TCP di dalam HTTP yang bermaksud bahawa perlu ada jabat tangan 3 HALA. Ini adalah pertukaran paket untuk TCP:

SYN -> SYN+ACK -> ACK.

Daripada tangkapan skrin yang diberikan, kita dapat melihat bahawa penyerang mencuba semula paket SYN beberapa kali pada port yang berbeza. Nombor bingkai 3460 hingga 3469. Nombor paket 3469 SYN adalah untuk port 80 iaitu HTTP.

Langkah 6:

Jabat tangan TCP pertama yang berjaya ditunjukkan pada nombor paket berikut daripada tangkapan skrin yang diberikan:

4488: Bingkai SYN daripada penyerang
4489: Bingkai SYN+ACK daripada 192.168.56.101
4490: Bingkai ACK daripada penyerang

Langkah 7:

Setelah sambungan TCP berjaya, penyerang dapat mewujudkan sambungan HTTP [nombor bingkai 4491 hingga 4495] diikuti dengan sambungan SSH [nombor bingkai 4500 hingga 4503].

Kini, serangan mempunyai kawalan yang mencukupi supaya ia boleh melakukan perkara berikut:

  • Serangan rampasan sesi
  • Lelaki di serangan tengah [MITM]
  • Serangan Penafian Perkhidmatan (DoS).

Cara Mencegah Serangan Spoofing ARP

Berikut ialah beberapa perlindungan yang boleh diambil untuk mengelakkan serangan penipuan ARP:

  1. Penggunaan entri 'ARP Statik'.
  2. Perisian pengesanan dan pencegahan spoofing ARP
  3. Penapisan paket
  4. VPN, dsb.

Selain itu, kami boleh menghentikan perkara ini daripada berlaku lagi jika kami menggunakan HTTPS dan bukannya HTTP dan menggunakan keselamatan lapisan pengangkutan SSL (Lapisan Soket Selamat). Ini supaya semua komunikasi disulitkan.

Kesimpulan

Daripada artikel ini, kami mendapat beberapa idea asas tentang serangan spoofing ARP dan cara ia boleh mengakses mana-mana sumber sistem. Selain itu, kita kini tahu bagaimana untuk menghentikan serangan seperti ini. Maklumat ini membantu pentadbir rangkaian atau mana-mana pengguna sistem untuk melindungi daripada serangan spoofing ARP.

Lain-lain

Kategori

Jawatan Popular

git-restore Perintah dalam Git | Diterangkan

kembalikan DECR

Cara Membuat Peluru dalam Discord

Sebab Kipas MacBook Sangat Keras dan Cara Membaikinya

Cara Menukar Tarikh kepada UTC dalam JavaScript

Apakah Histogram dalam MATLAB-Contoh

Cara Memasang ExifTool pada Raspberry Pi

Cara Mencari Faktorial dalam MATLAB

Apakah Standard C++ Menyatakan Saiz int, Jenis panjang?

Cara Mencari dan Menggunakan Tong Kitar Semula dalam Windows 10/11

Cara Menambah Pengguna ke Kumpulan di Linux

Cara Mengetahui Versi Windows 10

Keluarkan 'Cetakan 3D dengan Pembangun 3D' Pilihan Klik kanan pada Windows 10 - Winhelponline

Cara menggunakan AWS CLI pada Windows

Semak sama ada Rentetan Berakhir Dengan Subrentetan dalam JavaScript

Cara Menunjukkan Sejarah Komit untuk Satu Cawangan Menggunakan Log Git Dengan Julat

Apakah Jenis Array dalam TypeScript dan Bagaimana Ia Boleh Digunakan?

Panggil C++ daripada C

Bagaimanakah anda membuat asal git merge?

Bagaimana Menggunakan Midjourney untuk Papan Cerita Visual dalam Pengeluaran Media?