ARP Spoofing czyli przechwytywanie pakietów w sieci lokalnej ;)

Posted: 2 stycznia 2010 in IT, Prywatność, Security
Tagi: , ,

Dziś troszkę bardziej technicznie, chodź sadze że każdy sobie poradzi 🙂
To co tutaj opiszę z punktu widzenia prawa jest nielegalne, dlatego proszę o używanie tego z głową, tylko i wyłącznie w celach edukacyjnych 😉
Atak ten jest dość stary i nie będzie działał w każdej sieci z tego względu iż w topologii nowych sieci używa się obecnie „inteligentnych” switchy
Co to jest ARP? -> WIKIPEDIA
Na czym polega ARP Spoofing? -> WIKIPEDIA
Każdy tekst, grafika, ogólnie rzecz biorąc dane, przesyłane do sieci internet są w postaci pakietów. Takie pakiety możemy przechwycić (za pomocą sniffera) i następnie bez problemu odczytać nie zaszyfrowane dane.

W celu przechwytywania pakietów będziemy używać programu Cain, co umożliwi zaprezentowanie nam danych wysyłanych przez użytkownika do sieci internet.

Po uruchomieniu programu wybieramy zakładkę Configure gdzie wybierzemy kartę sieciową do nasłuchiwania pakietów. Następnie włączamy sniffera oraz nasłuchiwanie pakietów ARP

Po przejściu do zakładki „Sniffer” („Host”) wybieramy ikonę „+” i zaznaczamy wszystkie hosty do przeskanowania w naszej sieci, bądź też konkretny zakres

Po przeskanowaniu przechodzimy do zakładki „APR” zaznaczamy (klikamy) na drzewie APR i wybieramy ikonę „+”

W lewej części okna wybieramy najlepiej adres IP naszej bramy ponieważ przez to urządzenie przechodzą wszystkie pakiety do Internetu, a w prawej komputery (adresy IP) które chcemy sniffować (przechwytywać pakiety), następnie musimy być troszkę cierpliwi i oczekiwać jak któryś z użytkowników będzie wysyłał interesujące nas dane do internetu.

W momencie jak Sniffer przechwyci nas interesujące nas dane poinformuje nas o tym w oknie programu

Następnie w lewej części okna wybieramy protokół z którego chcemy zobaczyć przechwycone pakiety.
Dane przechwycone na protokole HTTP wyglądają tak jak na screenie poniżej

Oczywiście możemy przeglądać różne protokoły z listy w lewej części okna.

Jak się zorientować czy ktoś przechwytuje nasze pakiety?

W Windows wybieramy START | Uruchom i wpisujemy „cmd”. W nowo otwartym oknie wpisujemy „Arp –a” i porównujemy adresy MAC , jeżeli zauważymy że dwa różne adresy IP posiadają taki sam adres MAC to możemy stwierdzić że ktoś nas „podsłuchuje”

Jak się zabezpieczyć przed tego typu wykradaniem danych?
Najprościej będzie zainstalować na lokalnej maszynie firewalla, ten wbudowany w Windows XP nie wykrywa poprawnie ataków ARP. Polecam ESET Smart Security, Trend Micro Internet Security bądź coś podobnego. Równie dobrze możemy w jednej sieci lokalnej odpalić dwa Cain’y I też już nie będzie możliwe przechwytywanie pakietów

Reklamy
Komentarze
  1. Marcin pisze:

    A gdzie czasy linuxowych komend tekstowych ktore pozwalaly na taka magie tylko „wtajemniczonym” 🙂

  2. Ten artykuł był bardzo ciekawy, zwłaszcza, że szukałem myśli na ten temat w ostatni czwartek..

  3. paranoid pisze:

    Zerknie ktoś na co to u mnie wygląda? Z góry dzięki.

    Interface: 192.168.1.5 — 0xb
    Internet Address Psychical Address Type
    192.168.1.1 00-14-6c-fd-96-14 dynamic
    192.168.1.255 ff-ff-ff-ff-ff-ff static
    244.0.0.22 01-00-5e-00-00-16 static
    224.0.0.252 01-00-5e-00-00-fc static
    239.255.255.250 01-00-5e-7f-ff-fa static
    255.255.255.255 ff-ff-ff-ff-ff-ff static

  4. @paranoid trochę za mało informacji podałeś, najlepiej jakbyś dołączył zrzuty ekranu z ipconfig /all oraz arp -a Czy Tobie zależy na informacji czy ktoś Ciebie snifuje za pomocą tej metody? Jeżeli o to Ci chodzi i chcesz się czuć bezpieczny zainstaluj sobie jakiegoś antywirusa z firewallem 😉

    • paranoid pisze:

      No faktycznie to profesjonalnie tego posta nie napisałem. Zobaczyłem że drugi i ostatni adres MAC jest taki sam więc chciałem żeby ktoś to zinterpretował. Adresy uzyskałem tą komendą Arp -a. Teraz wygląda ok ale jak coś takiego znowu zauważe to bym poprosił o rzucenie okiem. Firewall’a mam „Windowsowego” więc chyba tragedii nie ma choć nie moge znaleźć jego logów (znajde). Jakby co to wrzuce screena, dzieki za odpowiedź.

  5. paranoid pisze:

    Zapomniałem dodać że obecnie używam Visty, nie wiem jakie są zmiany w działaniu firewalla w stosunku do XP ale zakładam że jest ulepszony. Jak masz inne zdanie to najwyżej sie rozejrze za jakimś lepszym albo kupie Avast Internet Security bo skoro darmowy antywirus jest bardzo dobry to płatny zestaw A+F będzie pewnie jeszcze lepszy.

  6. @paranoid Firewall wbudowany w Viste, nie zastapi Ci antywirusa + firewalla. Ja obecnie korzystam z G-data ale smialo moge polecic F-secure jezeli masz wydajny PC.

  7. tomulusss pisze:

    Ja mam taki komunikat po odpaleniu programu,wie ktoś co to jest?
    WARNING!!!TCP Large/Giant Sent Offloading is enabled for the current network interface.Cains SSL MitM attacks culd be affected:please check the Windows advenced settings of yor network interface configuration.
    Alternatively yoy can globally disable task offloading fetures with the fllowing command:
    netsh init set global taskoffload=disable
    Remember to deactivate and re-activate the network interface after the above command

  8. pawel pisze:

    najlepszą metodą obrony przed arp spoofing jest wprowadzenie statycznych wpisów do tablicy arp

  9. szkielet pisze:

    Witaj!
    Pytanie: Jak mogę wyświetlić wszystkie adresy MAC w mojej sieci lokalnej aby móc sprawdzić całościowo czy coś się nie dzieje? Ostatnio na jednym z komputerów zainstalowałem Pandę i ta krzyczy, że cały czas są przez nią blokowane ataki typu smart ARP. Na jednym komputerze są wyświetlane wszystkie IP na innym tylko mój. Od czego może to być uzależnione? I np taki atak może być prowadzony z zewnątrz czy musi być komputer/wirus w sieci lokalnej?

Skomentuj

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Wyloguj / Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Wyloguj / Zmień )

Facebook photo

Komentujesz korzystając z konta Facebook. Wyloguj / Zmień )

Google+ photo

Komentujesz korzystając z konta Google+. Wyloguj / Zmień )

Connecting to %s