full

//

ARP-спуфинг - это атака на сеть Ethernet или Wi-Fi, чтобы попасть между маршрутизатором и целевым пользователем. При спуфинге ARP сообщения, предназначенные для цели, вместо этого отправляются злоумышленнику, позволяя злоумышленнику шпионить за объектом, отказываться от обслуживания или посредника цели. Одним из наиболее популярных инструментов для выполнения этой атаки является Ettercap, который предустановлен на Kali Linux.

В обычной сети сообщения маршрутизируются через Ethernet или Wi-Fi, связывая MAC-адрес подключенного устройства с IP-адресом, используемым для его идентификации маршрутизатором. Обычно это происходит через сообщение протокола разрешения адресов (ARP), указывающее, какой MAC-адрес устройства соответствует какому IP-адресу. Он позволяет остальной части сети знать, куда отправлять трафик, но его можно легко подделать, чтобы изменить способ маршрутизации трафика.

При атаке подмены ARP такая программа, как Ettercap, отправляет поддельные сообщения, пытаясь найти близлежащие устройства, чтобы связать MAC-адрес хакера с IP-адресом цели. В случае успеха они временно сохраняются в настройках конфигурации на других сетевых устройствах. Если остальная часть сети начинает передавать пакеты, предназначенные для цели, злоумышленнику, злоумышленник эффективно контролирует соединение для передачи данных цели.

Типы ARP спуфинг-атак

После того, как злоумышленник добьется первоначального успеха в отравлении кэша ARP других хостов в сети, может быть три основных результата:

• Злоумышленник может следить за трафиком. Они могут скрываться в тени, видя все, что целевой пользователь делает в сети. Это довольно очевидно.
• Злоумышленник может перехватывать и изменять пакеты при атаке «человек посередине». Они могут перехватывать пароли, введенные на веб-сайте HTTP, просматривать DNS-запросы и разрешать IP-адреса, по которым перемещается цель, чтобы увидеть, какие веб-сайты посещает цель. При атаке «человек посередине» злоумышленник имеет возможность не только видеть, что происходит в сети, но и манипулировать ею. Например, они могут попытаться понизить шифрование, используемое соединением, преднамеренно запрашивая небезопасные версии веб-страниц, чтобы упростить задачу злоумышленника по перехвату паролей. Кроме того, хакер может быть просто неприятностью. Например, они могут заменять слова в тексте веб-сайта, переворачивать или заменять изображения или изменять другие типы данных, поступающих к цели и от нее.
• Злоумышленник может отбросить пакеты, предназначенные для цели, чтобы создать атаку типа «отказ в обслуживании». Это, возможно, самый неприятный для цели. В то время как атака аутентификации Wi-Fi является гораздо более частой причиной атаки сети Wi-Fi, спуфинг ARP может быть гораздо сложнее выяснить. Если злоумышленник решит не пересылать пакеты, которые теперь отправляются ему, вместо цели, цель никогда не получит их. Сеть Wi-Fi может быть заблокирована изнутри, попасть между целью и маршрутизатором, а затем отбросить пакеты, проходящие между ними.

Ettercap Graphical

Ettercap - одна из самых интригующих программ, установленных по умолчанию в Kali Linux. В отличие от многих программ, использующих только командную строку, Ettercap имеет графический интерфейс, который очень удобен для начинающих. Хотя результаты могут иногда отличаться, Ettercap является отличным инструментом для новичков, чтобы освоить сетевые атаки, такие как ARP-спуфинг. Если у вас его еще нет (например, если вы скачали облегченную версию Kali), вы можете получить его, введя следующее в окне терминала.

apt install ettercap-graphical
Reading package lists... Done
Building dependency tree
Reading state information... Done
ettercap-graphical is already the newest version (1:0.8.2-10+b2).

Ettercap не единственный инструмент для этого и не самый современный. Другие инструменты, такие как Bettercap, утверждают, что делают Ettercap, но более эффективно. Тем не менее, Ettercap оказывается достаточно эффективным для демонстрации. Общий рабочий процесс спуфинговой атаки Ettercap ARP состоит в том, чтобы присоединиться к сети, на которую вы хотите атаковать, найти узлы в сети, назначить цели для файла «целей», а затем выполнить атаку на цели.

Как только мы сделаем все это, мы можем образно наблюдать за целевыми объектами, пока они просматривают Интернет, и мы можем даже убить соединение с веб-сайтов, от которых мы хотим их избежать. Мы также можем запускать различные полезные нагрузки, такие как изоляция хоста от остальной части сети, отказ в их обслуживании путем отбрасывания всех отправленных им пакетов или выполнение сценариев, чтобы попытаться понизить безопасность соединения.

Подключиться к сети

Первым шагом подмены ARP является подключение к сети, которую вы хотите атаковать. Если вы атакуете зашифрованную сеть WEP, WPA или WPA2, вам необходимо знать пароль. Это потому, что мы нападаем на сеть внутренне, поэтому мы должны иметь возможность видеть некоторую информацию о других хостах в сети и данных, передаваемых в ней.

Вы можете подключиться к сети для подмены ARP двумя способами. Во-первых, это подключение через Eithernet, что очень эффективно, но не всегда практично и почти никогда не бывает тонким. Вместо этого многие люди предпочитают использовать адаптер беспроводной сети и выполнять спуфинг ARP через Wi-Fi.

Запустить Ettercap

В Kali нажмите «Applications», затем «Sniffing & Spoofing», затем «ettercap-graphicical». В качестве альтернативы, нажмите «Показать приложения» в доке, затем найдите и выберите «Ettercap».

Как только он запустится, вы должны оказаться на главном экране Ettercap. Вы увидите жуткий логотип Ettercap и несколько выпадающих меню для начала атаки. На следующем шаге мы начнем изучать меню «Sniff».

На этом этапе убедитесь, что у вас есть активное подключение к сети, прежде чем продолжить.

Выберите сетевой интерфейс, чтобы прослушать

Нажмите на пункт меню «Sniff», а затем выберите «Unified сниффинг». Откроется новое окно с просьбой выбрать, какой сетевой интерфейс вы хотите прослушивать. Вы должны выбрать сетевой интерфейс, который в данный момент подключен к сети, которую вы атакуете.

Теперь вы увидите текст, подтверждающий, что сниффинг начался, и вы сможете получить доступ к более сложным опциям меню, таким как «Цели», «Хосты», «Mitm», «Плагины» и т.д. Прежде чем мы начнем использовать любой из них, мы нужно идентифицировать нашу цель в сети.

Определить хосты в сети

Чтобы найти устройство, которое мы хотим атаковать в сети, Ettercap предлагает несколько хитростей. Сначала мы можем выполнить простое сканирование хостов, нажав «Хосты», затем «Сканировать хосты». Сканирование будет выполнено, и после его завершения вы сможете увидеть результирующие хосты, которые Ettercap определил в сети, нажав «Hosts», затем «Hosts list».

Теперь мы можем увидеть список целей, которые мы обнаружили в сети. Хотите увидеть, что они делают или сузить цели? Нажмите «Просмотр», затем «Подключения», чтобы начать поиск подключений.

Находясь в представлении «Подключения», вы можете фильтровать подключения по IP-адресу, типу подключения и по тому, открыто ли соединение, закрыто, активно или уничтожено. Это дает вам много возможностей отслеживания, которые можно увеличить, нажав «Просмотр», затем «Разрешить IP-адреса». Это означает, что Ettercap будет пытаться определить IP-адреса, которые он видит для других устройств в сети, к которым он подключается.

Если вы хотите идентифицировать цель в сети и знать, что они просматривают, посмотрите через плечо на какой веб-сайт они находятся и сопоставьте веб-сайт с IP-адресом с активным подключением к тому же веб-сайту. В противном случае вы можете узнать по MAC-адресу, как вы можете найти его в Интернете, чтобы увидеть производителя.

Выберите хосты для таргетинга с подменой ARP

Теперь, когда мы определили IP-адрес нашей цели, пришло время добавить их в список целей. Как только мы сделаем это, мы скажем Ettercap, что мы хотим назначить этот IP-адрес как тот, которым мы хотим притвориться, чтобы мы получали сообщения от маршрутизатора, которые должны были быть отправлены на цель.

Вернитесь к экрану «Хосты» и выберите IP-адрес цели, на которую вы хотите настроить таргетинг. Щелкните по IP-адресу, чтобы выделить его, затем нажмите «Цели», а затем «Список целей», чтобы просмотреть список устройств, на которые был нацелен спуфинг ARP.

Начать атаку на цели

Нажмите на «Mitm» меню и выберите «ARP отравление». Откроется всплывающее окно, и вы выберете «Удаленные соединения Sniff», чтобы начать атаку Sniff.

После начала этой атаки вы сможете перехватывать учетные данные для входа, если целевой пользователь вводит их на веб-сайт, не использующий HTTPS. Это может быть маршрутизатор или устройство в сети, или даже веб-сайт с низким уровнем безопасности.

Чтобы попробовать другую атаку, вы можете нажать «Плагины», затем «Загрузить плагины», чтобы открыть меню плагинов. Если вы выберете DOS-атаку, она начнет сбрасывать пакеты, отправленные этой цели, и отключит их доступ в интернет.

Попробуйте перехватить пароль

Теперь давайте попробуем перехватить пароль. Отличным для тестирования веб-сайтом является aavtain.com, который намеренно использует плохую защиту, чтобы вы могли перехватывать учетные данные. На целевом устройстве перейдите на aavtrain.com. Как только он загрузится, вы увидите экран входа в систему, в который вы можете ввести поддельный логин и пароль.

Введите имя пользователя и пароль, затем нажмите «Отправить». Если Ettercap успешен, вы должны увидеть введенные вами логин и пароль на экране злоумышленника!

В приведенном выше результате мы видим, что Ettercap успешно ARP отравил цель и перехватил HTTP-запрос на вход, который цель отправляла на небезопасный веб-сайт.

ARP Poisoning - мощный инструмент с некоторыми ограничениями

Основным очевидным ограничением спуфинга ARP является то, что он работает, только если вы подключены к сети Wi-Fi. Это означает, что он работает в открытых сетях, но может плохо работать в сетях с более сложным мониторингом или межсетевыми экранами, которые могут обнаруживать такого рода поведение.

Атаки ARP - еще один пример того, почему так важно выбирать надежные пароли для своих сетей и ограничивать доступ тем, кому вы доверяете. Вы отдаете много доверия, когда вы даете кому-то свой сетевой пароль или соединение Ethernet, поэтому не забывайте тщательно выбирать свои пароли и с кем вы им делитесь.