About Teletype
Join
ʟᴇɢɪᴏɴ_𝟼𝟶𝟹
@legion_603
September 17, 2025

Man-In-The-Middle (MITM)

Սկզբունքը հարձակումների MITM այն է, որ հարձակողական ներդրվում է ցանցային փոխազդեցության և հանդես է գալիս որպես միջնորդ միջեւ атакуемыми հանգույցների, ретранслируя նրանց հաղորդագրությունները. Իրականացնել նման գրոհ lan մասնավորապես կարելի է տեխնիկայի օգնությամբ ARP-spoofing.

ARP (Address Resolution Protocol – արձանագրություն որոշման հասցեները) արձանագրությունը համակարգչային ցանցերում, որը նախատեսված է որոշման MAC հասցեները համակարգչի հայտնի IP-հասցեն. Արձանագրությունը, որոնք օգտագործվում են ցանցային փոխազդեցության ցուցադրել է IP-հասցեի վրա MAC հասցե նախապատրաստման ժամանակ եւ ուղարկել կադրերի արձանագրության կապուղիների մակարդակի վրա канальном մակարդակով դիմելով տեղի է ունենում MAC հասցեները). Գոյություն ունեն հետևյալ տեսակները ARP-հաղորդագրությունները: ARP հարցման (ARP հարցման) և ARP պատասխան (ARP reply).
Որպեսզի ուղարկել ցանցային փաթեթը համակարգում անհրաժեշտ է իմանալ MAC հասցե ստացողի համար (encapsulation ցանցային փաթեթի (дейтаграммы) շրջանակ կապուղիների մակարդակի), դրա համար առաջին քայլը համակարգը ստուգում է տեղական ARP աղյուսակը (ներկայացված է ստորեւ), եթե գրառումների IP-հասցեով ՝ ARP աղյուսակում չկա, ARP արձանագրությունը կատարում է հետևյալ գործողությունները:

  • Կատարվում է հեռարձակման ARP հարցումը, որը պարունակում է IP-հասցե ստացողի
  • Հանգույց, որն ունի պահանջվող IP-հասցե (նշված ARP հարցման), ուղարկում է ARP պատասխան, որը պարունակում է իր MAC-հասցեն.
  • Այս պատասխանը մշակվում նախաձեռնողը հարցման, համապատասխան գրառում ավելացված է ARP աղյուսակը;
  • Կատարվում է հաջող ցուցադրում IP-հասցեները MAC հասցեն.

Առանձնահատկությունն աշխատանքի ARP արձանագրության, որը հնարավորություն է թարմացնել ARP աղյուսակի առանց ուղարկել ARP հարցման, այսինքն ' ցանկացած հանգույց lan, ստացող հեռարձակման ARP հարցում, կարող եք բարելավել ձեր մասին տեղեկատվությունը առաքիչ տվյալ ARP հարցման (փոխել համապատասխանող IP հասցեները MAC-հասցեն է ARP աղյուսակում) (պայմանով, որ ARP գրառում է статичной).

Զգոն հանգույցների ցանցի մասին հայտնվելու է նոր հանգույցի (կամ փոփոխության դեպքում ցանցային կարգավորումներ առկա հանգույցների) կիրառվում է հատուկ Gratuitous ARP հարցում. Տվյալ ARP հարցումը պահանջում MAC հասցե սեփական հանգույցի, այսինքն ուղարկում հեռարձակման ARP հարցումը, որը պարունակում է սեփական IP հասցե (տվյալ հարցումը անպատասխան է մնում, եթե ցանցի ոչ կրկնօրինակ IP հասցեները).

Է ստուգել գրառումները ARP աղյուսակում կարելի թիմի հետ:

arp -a
Ստուգում աղյուսակի ARP

Սկզբունքը հարձակման ARP-spoofing է փոփոխություն տեղական ARP աղյուսակի մեքենաների այնպես, որ MAC հասցե լեգիտիմ սարքի ցանցի փոխարինվում է MAC հասցեով հարձակողական ոճի. Այն իրականացվում է ի հաշիվ շարունակական ուղարկել մեծ քանակությամբ Gratuitous ARP հարցումներ, որոնք атакуемый ընդունող մշակում և օգտագործում է տեղեկությունների թարմացման մասին առաքիչ տեղային ARP աղյուսակում (հարձակումն իրականացվում է անընդհատ, քանի որ լեգիտիմ հանգույցները կարող են վերականգնել ARP գրառումը ' ուղարկելով ARP փաթեթը). Տվյալ հարձակումը հնարավոր բացակայության պատճառով մեխանիզմի իսկությունը ստուգելու համար հաղորդագրությունները ARP արձանագրության մեջ, այսինքն ' ցանկացած հանգույց ցանցում կարող պատասխանել հեռարձակման ARP հարցման (կամ ուղարկել Gratuitous ARP).
Տվյալ հարձակումն էր ցուցաբերում թույլ է տալիս լսել, փոփոխել, կամ վերահղման ցանցային երթեւեկությունը հետ атакуемых հանգույցներից. Իրականացնել հարձակումը կարող է հետեւյալ գործիքների:

  • EttercapՍա մեկն է առավել հայտնի գործիքների անցկացման համար MITM հարձակումներից, այդ թվում ' ARP-spoofing. Ettercap աջակցում է կանգնեցնել եւ զտիչ ցանցի տրաֆիկի, ինչպես նաև տրամադրում է գրաֆիկական ինտերֆեյսի համար հեշտ օգտագործման համար.
  • BettercapԺամանակակից գործիք է, որն աջակցում է տարբեր տեսակի MITM հարձակումներից, այդ թվում ' ARP-spoofing. Bettercap տարբերվում է իր ճկունությամբ և հարմարավետություն ստեղծել, բայց ունի նաեւ ակտիվ աջակցության եւ հաճախակի թարմացումները.
  • Arpspoof: Դա մի պարզ, բայց արդյունավետ գործիք ARP-spoofing, որը մաս է կազմում փաթեթի dsniff. Arpspoof թույլ է տալիս ձեզ հեշտությամբ վերահղման երթեւեկությունը միջոցով մեքենան հարձակողական ոճի, դարձնելով այն մի մեծ ընտրություն նրանց համար, ովքեր պարզապես սկսում է ուսումնասիրել այդ տեխնիկան ։
  • MITMf (Man-In-The-Middle-Framework): Համապարփակ ֆրեյմվորկն ազատություն, որն իր գործիքներ, տարբեր տեսակի հարձակումներից MITM, այդ թվում ' ARP-spoofing. MITMf միավորում հնարավորությունները մի քանի գործիքների և տրամադրում է հզոր մի շարք անցկացման համար ցանցային հարձակումներից.

Իրականացումը հարձակման

Դիտարկենք իրականացումը հարձակման ARP-spoofing գործիքի օգնությամբ bettercap:

sudo bettercap -iface eth0
Մեկնարկը bettercap

Օգտագործել հետեւյալ պարամետրերը:

set arp.spoof.targets 192.168.150.233
set arp.spoof.internal true
հհկ.spoof on

Տարբերակը arp.spoof.target սահմանում է մեքենան, arp աղյուսակ որը թունավորված է (նախնական հարձակում է իրականացվում բոլոր մեքենաները ցանցում), arp.spoof.internal true ցույց է տալիս, իրականացման անհրաժեշտությունը հետևանքով մեքենաներ lan (նախնական հարձակումը իրականացվում է դարպաս), "arp.spoof on մեկնարկում է arp spoofing հարձակման.

Գործարկումից հետո arp spoofing, հարձակողական կարող է թերթել երթեւեկությունը атакуемых հանգույցների (քանի որ ամբողջ թրաֆիկը անցնում է մի մեքենա է հարձակողական) օգնությամբ ծրագրերի վերլուծության ցանցային տրաֆիկի (օրինակ, օգտագործելով Wireshark).

Հայտնաբերում

Ակտիվ arp-spoofing կարելի է հայտնաբերել մի քանի ձեւերով:

  • Դիտել arp-սեղանի.
Տրամադրվել է IP-հասցե հարձակողական մեքենաներ
  • Փոփոխությունը կյանքի ժամանակը (TTL) ping փաթեթի (որոշ գործիքներ կարող են փոփոխել TTL).

Անցնելիս երթեւեկության միջոցով հանգույց հարձակվող է, TTL փաթեթի նվազում.

  • Դիտել ցանցային տրաֆիկի ծրագրի վերլուծության ցանցային երթեւեկությունը

Տվյալ դեպքում ընդունող ստանում է մեծ քանակությամբ Gratuitous arp հարցումներ է մեկ աղբյուրից, ինչն անոմալիա է ցանցային տրաֆիկի եւ կարող է վկայել մասին arp spoofing հարձակման է ենթարկվել ։

Առաջարկություններ

  • Կարգավորել ստատիկ arp-աղյուսակներում.

Փոքր ցանցերում պաշտպանելու է arp-spoofing հարձակումների հանգույցներում ցանցում կարելի է հարմարեցնել ստատիկ arp աղյուսակը: Ավելացնել ստատիկ գրառումը arp աղյուսակը կարող է օգնել թիմի Windows-ի համար:

netsh interface ip ավելացնել neighbors $interface_name $IP $MAC=

Նշում: աճող ցանցի վարչարարությունը ստատիկ arp սեղանների դառնում է բավական բարդ խնդիր է:

  • Կարգավորել դինամիկ arp ստուգման (DAI).

Դինամիկ ստուգում arp (Dynamic arp Inspection, DAIդա գործառույթը անվտանգության switch, որը ստուգում է փաթեթներ arp-ի ցանցում: DAI երաշխավորում է, որ ретранслируются միայն լեգիտիմ հարցումները և պատասխանները arp. Կոմուտատոր կատարում է հետևյալ գործողությունները:

    • Փոխանցում բոլոր arp-հարցումներ և պատասխաններ недоверенных նավահանգիստներում (համար կոռեկտ աշխատանքի DAI նավահանգիստները, որոնք պոտենցիալ կարող է մուտք գործել հարձակողական, mislabeled ինչպես недоверенные (Untrusted) (սովորաբար mislabeled բոլոր նավահանգիստները, որոնք գնում է դեպի վերջնական հանգույցների))
    • Ստուգում, որ ամեն մեկը այդ intercepted փաթեթների ունի իրական պարտադիր IP-հասցեներ է MAC հասցեն թարմացնելուց առաջ լոկալ arp սեղաններ, կամ առաջ առաքման փաթեթի համապատասխան նպատակակետ.
    • Որոշում է անվավեր փաթեթներ arp.
  • Օգտագործել կոդավորումը.

Է նվազեցնել վնասի հարձակման arp-spoofing (ինչպես ցանկացած MITM հարձակման) lan կարելի է օգտագործել արձանագրությունները կոդավորում և տվյալների պաշտպանության համար փոխանցվող տեղեկատվության հարձակողական ոճի. Օրինակ, նման արձանագրությունները ինչպես PPPoE կամ IPSec.

  • Օգտագործել հատուկ ծրագրեր մոնիտորինգի arp երթեւեկության եւ հայտնաբերում անոմալիաներ (ArpON, arpwatch, BitCometAntiARP).

Տվյալներ ծրագրի վերլուծում arp փաթեթներ, предаваемые է համացանցում հիշում համապատասխանող IP և MAC հասցեները. Եթե համապատասխանությունը խախտվել է, կամ հայտնաբերվել հայտնվելը նոր MAC հասցեների ցանցի գեներացվել է համապատասխան միջոցառումներ համակարգային մատյանում ։

Գրառումը վերձված է

ʟᴇɢɪᴏɴ_𝟼𝟶𝟹
September 17, 2025, 16:59
0 views
1 reaction
0 replies
0 reposts